Cinecard

Here in zurich one of the company running the cinemas (Kitag AG) has a quite good working reservation system based on the “cinecard” which allows you (for one thing) reserve or buy tickets from the internet with a realtime preview which seats your’re going to get.

Recently they have changed the old chipcards to a thing containing an RFID-Tag. As my problems with this (they don’t even have a privacy policy on their site) mostly concerns people in Zürich, Basel and Bern, I’ll post a small article I have written in german. This is from an Email I sent to an employee of Kitag AG. She doesn’t like what I wrote either:


> ehrlich gesagt. Das mit der Ciné-Card habe ich im Fall nicht gewusst -
> wie funktioniert das?? Über den Magnetstreifen/Chip? Hilfe, dann bin
> auch ich trackbar!! Im Internet sowieso überall... das ist furchtbar.

Der Chip, der in die neuen Cinecards eingebaut ist (bei den CD’s war er noch sichtbar unter dem weissen Papier rund um das Loch - bei den ganz neuen ist er in das Material eingearbeitet) wird als RFID-Chip bezeichnet. Das Ding kostet, wenn Du genügend grosse Stückzahlen abnimmst, so um die CHF 1.50 pro Stück, ist weniger als ein Millimeter dünn und funktioniert folgendermassen:

Du kannst das Teil durch Induktion (man bedenke: Ein Rechts-System, ein Rechts-System) über ca. 30 Meter mit Strom versorgen. Hat es Strom, kannst Du spezielle Kommandos senden, um die eingespeicherte ID auszulesen.

Also: Jeder RFID-Tag hat eine eindeutige Nummer gespeichert und diese Nummer kann aus 30 Metern Distanz ausgelesen werden, ohne dass Du es merkst.

Soviel zur Technik an sich.

Die Idee war, dass man damit die Barcodes ersetzen kann. Und die Sache hat was: Im Migros füllst Du deinen Einkaufswagen mit Kram, fährst ihn zur Kasse und plopp steht da, was Du bezahlen musst, weil die Kasse eben die RFID-Tags der Waren im Wagen ausgelesen hat. Bequem.

Gleiches im Lager: Du hast ein Lager mit verschiedenen Regalen. Ein RFID-Scanner überwacht nun den Füllstand desselbigen konstant. Wird das letzte Stück aus dem Lager genommen, plopp wird nachbestellt. Bequem.

Wall-Mart in den USA hat das System weitergetrieben: Am Regal mit den Gilette-Rasierklingen (schweineteuer) wurde ein RFID-Scanner und eine Webcam angebracht. Die Kamera hat jeden photographiert, der ein Packet Klingen aus dem Regal entnommen hat. An der Kasse wurde dann über einen ernuten RFID-Scanner festgestellt, wenn einer eine Rasierklinge bei sich trug. Wenn ja, wurde ein Photo gemacht und mit den Regal-Photos verglichen. Eventuelle Diebe konnten so nachdem sie die kasse passiert hatten bequem von den Hausdetektiven geschnappt werden. Dumm nur, dass das System nicht zuverlässig funktioniert hatte (z.B. das Zurückstellen von Klingen zurück ins Regal), was zu tonnenweise sinnlosen Durchsuchungen und Anzeigen geführt hat. Weniger Bequem.

Szenario: Benetton verwendet RFID-Tags auf ihren Kleidern. Die Tags sind konstant aktiv und können von überall her ausgelesen werden. Ich ziehe mir so einen Pullover an und kaufe daraufhin im Coop eine Kiste Bier. Ein RFID-Scanner bei der Kasse findet einen unbekannten Tag (den in meinem Pullover), meldet den bei der Kasse, die gleichzeitig meine Präferenz nach Bier speichert. Bedenke: RFID-Tags sind weltweit eindeutig. Nun komme ich das nächste Mal in den Coop. Der RFID-Scanner am Eingang erkennt meinen Pollover wieder und plopp habe ich einen Mitarbeiter von Coop am Arsch, der mir eine Kiste bier verkaufen will. Mühsam.

Es wird noch besser: Mit meinem Pullover gehe ich nun und kaufe mir einen PC, den ich per Kreditkarte bezahle. Der RFID-Scanner erfasst die eindeutige ID meines Pullovers und sendet die zusammen mit Daten über meinen Einkauf und mit meiner Kreditkarten-Nummer an die örtliche Mastercard-Niederlassung. Zwei Tage später: plopp Werbung für einen passenden Drucker in meinem Briefkasten – direkt von Mastercard.

Da nirgens auf kitag.com steht, dass sie meine persönlichen Daten nicht an 3. weitergeben, habe ich leider keine Garantie, dass mein Name und Adresse, der jetzt ja eindeutig der eindeutigen ID auf dem RFID-Tag der cinecard zuweisbar ist, nicht früher oder später weitergegeben wird. Bequem für Händler und Strafverfolger (von denen ich zum Glück nichts zu befürchten habe), die Partner der kitag sind: Wann immer ich mit meiner Cinecard (habe sie immer im portemonaie dabei) ein Laden des Partners betrete könnte ein RFID-Scanner die ID erfassen und damit meinem Namen und meiner Adresse, die ich selbst auf kitag.com eingegeben habe die getätigten Einkäuft zuordnen. Kitag und deren Partner hätten in kürzester Zeit ein genaues Profil, was Philip Hofstetter so tut. Was er einkauft, wo er das tut, welche Filme er schaut, wo er wohnt,… Cool, was?
</tt>

If you live here in switzerland, coordinate with me to get something done. I’ll already be fine with a statement from kitag that they do not give away personal data.