Dat schrijft Minister van Binnenlandse Zaken Guusje ter Horst in antwoord op vragen van het SP-kamerlid Emile Roemer. Op 22 september schreef ze de Tweede Kamer al dat na de presentatie van de Radboud Universiteit op de Esorcis-conferentie het risico op misbruik zou toenemen.

Dat sinds vorige week kraaksoftware voor de Mifare Classic op internet staat, verbaast de Minister dan ook niet. "Dat dit nu gebeurt is niet verrassend; al in maart/april jl. is door het Nationaal Bureau voor Verbindingsbeveiliging van de AIVD erop gewezen dat na publicatie vrij snel kraakprogramma's op het internet beschikbaar zouden komen", schrijft ter Horst. Ze stelt dan ook dat nu dit moment lijkt te zijn aangebroken.

Grotere risico's

"Met het publiceren van programma's voor het kraken van de Mifare Classic kaart wordt het risico groter dat onbevoegden zich toegang weten te verschaffen tot ruimtes beveiligd met toegangspassen gebaseerd op deze technologie", stelt de minister.

Daarnaast ziet ze twee scenario's voor Denial-of-Service-aanvallen. Als eerste kan een aanval een pas niet alleen lezen, maar ook beschrijven. Daardoor zijn gegevens te wissen en is het niet langer mogelijk gebouwen in te gaan. Daarnaast is het kaarten te klonen en kunnen sommige backoffice-systemen zulke kaarten bij vermoed misbruik blokkeren, waardoor legitieme gebruikers ook geen toegang heeft tot gebouwen.

Niet voor OV-chipkaart

Een dergelijke backoffice-systeem is volgens Trans Link Systems ook aanwezig om fraude met de OV-chipkaart, die dezelfde chip gebruikt, te detecteren. Het bedrijf kan dan ook besluiten kaarten te blokkeren. In haar brief rept ter Horst hier met geen woord over, die wel vragen beantwoord maar bezweert dat de problemen voor dat project "de volle aandacht van de Staatssecretaris van Verkeer en Waterstaat" heeft.

Volgens Ter Horst heeft collega Huizinga de wind er goed onder: "Er zijn maatregelen benoemd en genomen om de beveiliging van de OV-chipkaart op een dusdanig niveau te brengen dat deze geen bedreiging vormt voor het project an sich."

'Misbruik loont niet'

"Vooralsnog kan op basis van de op dit moment beschikbare informatie worden geconcludeerd dat publicatie van source code misbruik van de OV-chipkaart niet aantrekkelijker maakt en er niets veranderd is aan het feit dat de criminele business case negatief is en daarmee misbruik niet loont", concludeert ze.

Afgelopen vrijdag besliste Huizinga om vanaf eind januari de strippenkaart uit de Rotterdamse metro te verbannen, zodat de pilot met de OV-chipkaart 'voltooid kan worden'.

Andere chip en beschermhoes

Op dit moment is het ministerie druk bezig met het selecteren van een chip voor de nieuwe Rijkspas en zal tot die tijd met aangescherpte procedures worden gewerkt. Ook laat ze RFID-shields uitreiken, die voorkomen dat de kaarten data lekken op momenten dat de kaarten niet gebruikt hoeven te worden. De AIVD heeft die onderzocht en vindt ze volgens de minister geschikt. Bij de OV-chipkaart wordt die laatste beschermingsmaatregel momenteel niet toegepast.