Home/Glossar RFID & Campuskarte

Glossar RFID & Campuskarte

Klare Referenz für die Begriffe, die bei der Planung eines Campuskarten-Programms auftauchen — Chipnormen, Frequenzbänder, Verschlüsselung, mobile Wallets und die Plattformen am Markt.

Normen & Protokolle

ISO 7810— ID-1, ID-2, ID-3: Internationale Norm, die die physischen Abmessungen von Ausweiskarten festlegt. ID-1 (Kreditkartenformat, 85,6 × 54 mm) ist das Format für Studierenden- und Zutrittskarten.
ISO 7816: Norm für Karten mit sichtbarem goldenen Kontaktchip. Definiert Pinbelegung, elektrische Signale und Befehlssatz für Kontakt-Smartcards.; Dual-Credential-Karten nutzen ISO 7816 für die Kontaktseite und ISO 14443A für die kontaktlose Seite. EMV-Chipkarten der Banken sind ISO 7816-kompatibel.
ISO 14443A: Internationale Norm für kontaktlose Proximity-Smartcards mit 13,56 MHz. Die dominante Norm für moderne Campus-, Bank- und Zutrittskarten.; Typ A definiert Modulation, Anti-Collision und Übertragungsprotokoll. MIFARE, DESFire, NTAG und die meisten aktuellen kontaktlosen Campuskarten sind ISO 14443A-konform. Leseabstand typischerweise 0–10 cm.
ISO 15693— Vicinity-Karten: Norm für kontaktlose Smartcards mit 13,56 MHz und größerem Leseabstand bis zu 1–1,5 m.; Eingesetzt für RFID-Buch-Tagging in Bibliotheken, Asset-Tracking und Zutrittssysteme, bei denen größere Reichweite gewünscht ist. Weniger sicher als ISO 14443A für Credentials.
ISO 9001: Internationale Qualitätsmanagementnorm. Eine ISO 9001-Zertifizierung bedeutet, dass ein Hersteller einen dokumentierten, geprüften Qualitätsprozess befolgt. CampusRFID ist ISO 9001-zertifiziert.
FIPS 140-2: US-Bundesstandard für kryptografische Module. Erforderlich für bundesfinanzierte Forschungslabore und viele regierungsnahe Campus-Einrichtungen.; Wenn eine Campus-Umgebung FIPS-140-2-validierte Kryptografie verlangt, müssen sowohl die Chipfamilie (DESFire EV2/EV3, Seos) als auch der Schlüsselmanagement-Prozess beim Aussteller in den Geltungsbereich fallen.
NFC— Near Field Communication: Drahtloses Protokoll kurzer Reichweite (≤4 cm), das ISO 14443 um Peer-to-Peer-, Telefon-zu-Leser- und Telefon-zu-Tag-Interaktionen erweitert.; NFC ermöglicht Apple Wallet- und Google Wallet-Campus-Credentials. Das Telefon emuliert im Card-Emulation-Mode eine kontaktlose Smartcard.

Chipfamilien

Smartcard: Jede Karte mit eingebettetem Mikroprozessor oder Speicherchip. Umfasst Kontakt- (ISO 7816), kontaktlose (ISO 14443) und Dual-Interface-Karten. Abgegrenzt von reinen Magnetstreifenkarten.
MIFARE Classic: Ältere kontaktlose Chipfamilie von NXP mit Crypto-1 (gilt heute als gebrochen). Noch in vielen älteren Campus-Systemen im Einsatz, aber für neue hochsichere Anwendungen nicht empfohlen.; Kryptografische Schwachstellen sind seit 2008 bekannt. Karten lassen sich mit Consumer-Hardware klonen. Migration zu DESFire EV2/EV3 ist der Standard-Upgradepfad.
MIFARE DESFire EV1 / EV2 / EV3: Hochsichere kontaktlose Chipfamilie von NXP mit AES-128-Verschlüsselung und gegenseitiger Authentifizierung. EV3 (aktuelle Generation) ergänzt Secure Unique NFC und Transaction MAC.; DESFire EV2 und EV3 sind de-facto Standard für moderne hochsichere Campus-Zutritte. Jede Karte trägt mehrere Anwendungen (Zutritt, Zahlung, Bibliothek) mit getrennten Schlüsseln. Die Klonresistenz ist kryptografisch, nicht auf Geheimhaltung gestützt.
HID iCLASS SE / Seos: Hochsichere 13,56-MHz-Credential-Familie von HID Global. iCLASS SE ist die ältere Generation; Seos die aktuelle mit stärkerem Schlüsselmanagement und mobiler Credential-Unterstützung.; Weit verbreitet an nordamerikanischen und britischen Universitäten. Häufig zusammen mit Apple Wallet/Google Wallet über HID Mobile Access. Seos nutzt ein softwarebasiertes Credential-Modell, das das Credential vom Kartenmedium entkoppelt.
LEGIC: Kontaktlose Chipfamilie von Kaba/dormakaba (LEGIC Prime, LEGIC Advant). Starke Präsenz an Schweizer und deutschsprachigen Universitäten.; LEGIC Advant unterstützt AES-128 und Multi-Application-Credentials ähnlich wie DESFire. LEGIC Prime ist die ältere Generation und sollte bei neuen hochsicheren Einsätzen migriert werden.
NTAG: NFC-Forum-konforme Tag-Familie von NXP (NTAG213/215/216/424 DNA). Kostengünstiger als DESFire, geeignet für Marketing, Event-Check-in und Anwendungen mit niedrigeren Sicherheitsanforderungen.; NTAG 424 DNA ergänzt AES-128-Nachrichtenauthentifizierung und eignet sich für einige Zutrittsszenarien. Weit verbreitet bei Campus-Eventkarten und RFID-Bibliothekstagging.
EM4100 / EM4200: Niederfrequente (125 kHz) Read-only-Chipfamilien. Senden bei Energiezufuhr eine feste Seriennummer. Keine Verschlüsselung, leicht zu klonen.; Häufig in älteren Zutrittssystemen und Park-Karten. Neue Einsätze sollten 13,56 MHz mit AES-128 nutzen. Oft mit HF-Chips in Dual-Frequenz-Karten für Migration kombiniert.

Frequenzen & RFID-Protokoll

LF 125 kHz: Niederfrequenter RFID-Bereich. Kurze Reichweite (5–15 cm), keine Verschlüsselungsunterstützung, sehr tolerant gegenüber Metall- und Wasserumgebungen.; Dominierte ältere Zutrittssysteme (1990er–2000er). Neue Campus-Einsätze migrieren weg von LF hin zu HF 13,56 MHz mit AES-128, da LF-Credentials trivial klonbar sind.
HF 13,56 MHz: Hochfrequenter RFID-Bereich, genutzt von ISO 14443A, ISO 15693, NFC, MIFARE, DESFire, iCLASS und Seos. Die dominante Frequenz für moderne Campus-Credentials.; Leseabstand 0–10 cm je nach Antennenkonstruktion. Unterstützt AES-128 gegenseitige Authentifizierung mit dem richtigen Chip (DESFire EV2+, Seos).
UHF 860–960 MHz: Ultrahochfrequenter RFID-Bereich. Große Reichweite (1–10 m), genutzt für Asset-Tracking, Parken und Bibliotheksinventar — in der Regel nicht für personelle Credentials.; Protokoll ISO 18000-6C / EPC Gen 2. Impinj Monza ist die dominante Chipfamilie. Der Reichweitenvorteil bringt Datenschutz- und Sicherheits-Trade-offs, die UHF für Studierendenausweise ungeeignet machen.
Leseabstand: Distanz, in der ein Leser einen Tag zuverlässig mit Energie versorgen und auslesen kann. Hängt von Frequenz, Antennendesign, Sendeleistung und Umgebung ab.; Typische LF-Reichweite: 5–15 cm. HF: 0–10 cm. UHF: 1–10 m. Hand-Presentation-Reader sind bewusst auf kurze Reichweite eingestellt, um Verwechslungen zwischen Karteninhabern zu vermeiden.
Anti-Collision: RFID-Protokollschicht, die einem Leser erlaubt, mehrere Tags im Feld gleichzeitig zu erkennen und anzusprechen, ohne dass sich ihre Signale stören.; ISO 14443A nutzt einen Binärbaum-Walking-Algorithmus. Wichtig für RFID-Bibliotheksinventar (viele Bücher gleichzeitig lesen) und für unbeabsichtigte Multi-Karten-Situationen (zwei Karten in einem Portemonnaie).

Verschlüsselung & Sicherheit

AES-128: Advanced Encryption Standard mit 128-Bit-Schlüssel. Die Verschlüsselung in MIFARE DESFire EV2/EV3 und HID Seos-Credentials.; Kombiniert mit gegenseitiger Authentifizierung (Challenge-Response) macht AES-128 jeden Karten-Tap zu einer kryptografisch signierten Transaktion. Eine geklonte Karte gefährdet das System nicht, wenn Schlüssel diversifiziert sind.
3DES— Triple DES: Älterer symmetrischer Verschlüsselungsalgorithmus, der DES dreifach anwendet. Wird von einigen älteren Chipfamilien unterstützt, vom NIST 2023 offiziell ausgemustert.; DESFire EV1 unterstützte 3DES; EV2 und EV3 ergänzen AES-128 und lösen ihn ab. Neue Einsätze sollten durchgehend AES-128 nutzen.
Crypto-1: Proprietäre Stream-Cipher in MIFARE Classic. 2008 rückwärtsentwickelt und heute fundamental gebrochen.; Crypto-1-Schwachstellen machen MIFARE-Classic-Karten mit gewöhnlicher NFC-Hardware (z. B. Proxmark) klonbar. Jede Campus, die noch Classic einsetzt, sollte eine Migration zu DESFire EV2/EV3 oder Seos planen.
Diversifizierte Schlüssel: Schlüsselmanagement-Technik, bei der jede Karte einen eindeutigen Authentifizierungsschlüssel aus einem Hauptschlüssel und der UID der Karte ableitet. Das Klonen einer Karte legt den Hauptschlüssel nicht offen.; Branchenstandard für Produktiv-Einsätze. Hauptschlüssel liegen in einem Hardware Security Module (HSM) beim Aussteller, nicht auf einzelnen Karten. CampusRFID kann diversifizierte Schlüssel in unserer Fertigung codieren.
Gegenseitige Authentifizierung: Kryptografisches Protokoll, bei dem sich Karte und Leser gegenseitig verifizieren, bevor Daten ausgetauscht werden. Verhindert, dass böswillige Leser Credentials abgreifen und dass gefälschte Karten echte vortäuschen.
Replay-Angriff: Eine legitime Karten-Leser-Interaktion mitschneiden und später erneut abspielen, um die Karte zu imitieren. Verhindert durch gegenseitige Authentifizierung mit zufälligen Sitzungs-Challenges.; Karten mit statischer UID (MIFARE Classic, EM4100) sind anfällig für Replay. AES-128 gegenseitige Authentifizierung (DESFire EV2+, Seos) macht jeden Austausch einzigartig und unwiederholbar.

Mobile Credential-Technologie

Secure Element— SE: Manipulationssicherer Hardware-Chip in Telefonen und Karten, der kryptografische Schlüssel speichert und sensible Codes ausführt. Apple-Geräte und die meisten Android-Flaggschiffe verfügen über ein Secure Element.; Mobile Studierendenausweise leben im Secure Element, nicht im regulären App-Speicher. Express-Mode-Taps funktionieren auch bei gesperrtem Telefon, weil das SE ohne das Betriebssystem authentifizieren kann.
HCE— Host Card Emulation: Android-Funktion, mit der eine App über Software eine kontaktlose Smartcard emuliert (ohne Hardware-Secure-Element).; Einige Campus-Plattformen nutzen HCE für Nicht-Flaggschiff-Android-Telefone ohne nutzbares SE. Weniger sicher als SE-gestützte Credentials, aber breiter kompatibel.
BLE— Bluetooth Low Energy: Kurzreichweitiges Funkprotokoll, das HID Mobile Access und andere mobile Credential-Systeme als Alternative oder Ergänzung zu NFC nutzen.; BLE hat eine größere Reichweite (1–3 m) als NFC, nützlich für hands-free oder 'Twist-and-go'-Interaktionen. Erfordert BLE-fähige Leser — viele neuere HID-Leser können das, die meisten Bank-POS-Terminals nicht.
SIO— Secure Identity Object: HID-Datenmodell für Credentials auf Seos. Entkoppelt das Credential vom Kartenmedium — dasselbe SIO kann auf einer Seos-Karte, einem Seos-USB-Token oder einem Mobiltelefon liegen.
Express Mode: Apple-Wallet-Funktion, die das Tippen eines Credentials ohne Entsperren oder Authentifizieren des Telefons erlaubt. Funktioniert bis zu 5 Stunden, nachdem der Akku leer ist (Power Reserve).; Express Mode ist für Studierendenausweise essenziell — Studierende sollen ihr Telefon nicht entsperren müssen, um ein Gebäude zu betreten oder Lunch zu bezahlen. Jedes Credential muss explizit für Express Mode aktiviert werden.
Apple Wallet (Studierendenausweis): Apples mobile Wallet-Plattform mit nativer Unterstützung für Universitäts-Studierendenausweise. Bereitstellung über Campus-Apps und zertifizierte Kartenplattformen.; Setzt eine unterstützte Campus-Plattform voraus (Transact, CBORD, Atrium oder HID Mobile Access) und den Abschluss von Apples Zertifizierungsprozess. Studierende provisionieren das Credential in der Campus-App, nicht in der Wallet-App.
Google Wallet (Studierendenausweis): Googles mobile Wallet-Plattform mit Studierendenausweis-Unterstützung auf Android-Telefonen mit NFC. Bereitstellung analog zu Apple Wallet.; Verfügbar ab Android 9+ mit einer Campus-Kartenplattform, die mit Google Wallet integriert ist. Express Mode erlaubt Taps ohne Entsperren des Telefons.

Kartenproduktion & Formate

CR80— ID-1, Kreditkartenformat: Standard-Kreditkartenformat: 85,6 × 54 mm × 0,76 mm. Standard für Studierenden- und Zutrittskarten.
Dual-Credential-Karte— Dual-Interface-Karte: Karte mit Kontaktchip (sichtbarer goldener Pad) und kontaktloser RFID-Antenne in einem Kartenkörper. Eine Karte funktioniert sowohl mit älteren Kontaktlesern als auch mit modernen kontaktlosen Lesern.; Siehe unsere dedizierte Produktseite Dual-Credential-Karten.
Magnetstreifen— Magnetic stripe (HiCo / LoCo): Magnetstreifen auf der Rückseite einer Karte. HiCo (high-coercivity) speichert Daten länger; LoCo (low-coercivity) ist günstiger und geeignet für kurzlebige Karten.; Wird zunehmend durch chipbasierte Credentials ersetzt, aber von einigen älteren Campus-Geräten (Wäsche, Vending, Bibliothek) noch verlangt. Häufig in Übergangskarten neben RFID enthalten.
Personalisierung: Produktionsschritt, in dem jede Karte mit Karteninhaberdaten bedruckt und codiert wird: Name, Foto, ID-Nummer, Magnetstreifen-Daten und geheime Chipschlüssel.; Zwei Wege: beim Hersteller (vorpersonalisierte Karten im Bulk an die Campus) oder vor Ort (Campus gibt Rohkarten in-house aus). CampusRFID unterstützt beide Modi.
UID— Unique Identifier: Werkseitig festgelegte Seriennummer auf jedem RFID-Chip. Wird vor jeder Authentifizierung im Klartext zurückgesendet. Dient zur Ableitung diversifizierter Schlüssel.; UIDs allein sollten nicht als Credential dienen — sie sind trivial klonbar. Sie sind eine karteneindeutige Adresse, kein Geheimnis.

Plattformen & Operations

Campuskarten-Plattformen: Software-Plattformen, die Campus-Credentials ausstellen und verwalten: Transact, CBORD, Atrium, Heartland, Blackboard Transact, HID Mobile Access. Jede verbindet Identität mit Zutritt, Zahlung und Gastronomie.; Siehe unseren Leitfaden Campuskarten-Systeme für einen Plattformvergleich.
CMS— Card Management System: Software, mit der das kartenausstellende Büro Karteninhaber registriert, Schlüssel codiert, Karten druckt und neu ausstellt. Häufig Bestandteil einer Campus-Kartenplattform.
SSO— Single Sign-On: Identitätsprotokoll, mit dem Studierende sich mit einer einzigen Anmeldung in der Campuskarten-App, dem LMS, WLAN, Bibliothekssystemen und Zahlungs-Apps anmelden. Übliche Protokolle: SAML, OIDC.
MOQ— Mindestbestellmenge: Kleinste Menge, die ein Hersteller in einem Lauf produziert. CampusRFIDs Standard-MOQ beträgt 500 Karten.

Den richtigen Chip für Ihre Campus wählen

Für neue Einsätze und Refresh-Zyklen 2026 ist die praktische Shortlist:

MIFARE DESFire EV2 / EV3 — beste Wahl für europäische Universitäten, starke AES-128-Sicherheit, Multi-Application-Unterstützung.
HID iCLASS Seos — beste Wahl für nordamerikanische Campusse auf HID-Infrastruktur, native Apple Wallet / Google Wallet-Unterstützung.
Dual Credential — bei gemischter Leserlandschaft (alt und modern) und Bedarf an einer Karte, die auf beiden funktioniert.

Hochsicherheits-Zutrittskarten →Dual-Credential-Karten →Leitfaden Campuskarten-Systeme →