Abo
  • Services:
Anzeige
Die VBB-Fahrcard kann Bewegungspunkte speichern, obwohl dies laut VBB technisch unmöglich sein soll.
Die VBB-Fahrcard kann Bewegungspunkte speichern, obwohl dies laut VBB technisch unmöglich sein soll. (Bild: Andreas Sebayang/Golem.de)

VBB-Fahrcard: Berlins elektronische Fahrkarte speichert Bewegungsprofile

Die VBB-Fahrcard kann Bewegungspunkte speichern, obwohl dies laut VBB technisch unmöglich sein soll.
Die VBB-Fahrcard kann Bewegungspunkte speichern, obwohl dies laut VBB technisch unmöglich sein soll. (Bild: Andreas Sebayang/Golem.de)

Mit der überwiegend in Berlin, aber auch in Brandenburg eingesetzten VBB-Fahrcard können laut VBB keine Bewegungsprofile gespeichert werden. Wie sich nun herausgestellt hat, stimmt das nicht. Lesegeräte in BVG-Bussen speichern Bewegungspunkte auf der Fahrcard.

Wie der Fahrgastverband IGEB herausgefunden hat, lässt die VBB-Fahrcard entgegen den Aussagen der Herausgeber die Speicherung von Bewegungsprofilen zu. Laut einem PDF-Vorabbericht der Signal 6/2015 reicht es, die App Mytraq sowie ein NFC-fähiges Smartphone zu besitzen, um die Daten auszulesen. Der IGEB ist dafür testweise mit einem Bus der Linie 245 durch Berlin gefahren, dessen Lesegeräte offenbar auch Schreibfähigkeiten haben. Im Anschluss wurden die durch die Busse geschriebenen Daten ausgewertet. Im Ergebnis ließ sich nachvollziehen, wo der Fahrgast ein- und umstieg.

Anzeige

Diese Möglichkeit wurde bisher vom Verkehrsverbund Berlin-Brandenburg (VBB) dementiert. Dem IGEB wurde eigenen Angaben zufolge sogar technisches Unwissen vorgeworfen. Zudem: Selbst wenn die Daten gespeichert würden, wären sie sicher, hat der IGEB vom VBB erfahren. Beides hat sich als unwahr herausgestellt, denn mit einer App, die jeder herunterladen kann, lassen sich die Daten auslesen. Das verwundert. Uns erklärte Hersteller NXP schon früher, dass das Sicherheitsniveau ähnlich hoch sei wie beim neuen Personalausweis. Sprich: Tatsächlich dürfte niemand die unberechtigt geschriebenen Daten auch noch unberechtigt auslesen können.

Auch die Berliner Morgenpost bestätigt das Datenschutzproblem

Bestätigt wird der Bericht von der Berliner Morgenpost, die nach dem IGEB-Bericht einen eigenen Testlauf durchführte und auch eine Stellungnahme der BVG erhielt. Derzufolge wird die BVG jetzt innerhalb von zwei bis drei Tagen alle betroffenen Lesegeräte abschalten und den Hersteller um das Lösen des Problems bitten. Der Schwachpunkt sind offenbar die Bus-Lesegeräte, die die Daten schreiben. Andere Geräte sind nach derzeitigem Stand nicht betroffen. Voraussetzung ist allerdings, dass die Anwender der Karte diese auch an einem Lesegerät vorbeiführen. Dass Fahrcard-Besitzer das tun, ist aber unwahrscheinlich. Zum einen fehlt der Zwang und zum anderen sind die Lesegeräte unserer Erfahrung nach seit Monaten unzuverlässig. Wir sahen nur selten Nutzer, die aus Neugierde die Karte vorbeiführten. Dementsprechend dürften nur wenige Nutzer in der Praxis tatsächlich Bewegungsdaten gespeichert haben.

Für Anwender ist derzeit unklar, wie die auf der VBB-Fahrcard gespeicherten Daten gelöscht werden können. Ein Anruf von uns beim Service Center der BVG half nicht. Dort wusste man nichts von dem Problem mit den Bewegungsprofilen, hörte aber schon von dem Morgenpost-Artikel. Auch der Schichtleiter der Hotline war überrascht, wie man uns beim Support sagte. Man beteuerte trotzdem, nach derzeitigem Kenntnisstand sei es technisch unmöglich, Bewegungspunkte zu speichern. Die Mitarbeiter konnten sich gar nicht vorstellen, wie die Daten dort gespeichert werden sollen.

Der VBB versprach zu viel

Das beteuert auch der VBB seit Jahren. Die VBB-Fahrcard wird seit September 2011 getestet und seit September 2013 allgemein verteilt. In den mittlerweile vier Jahren Betrieb wurde die grundsätzliche Schwachstelle allerdings nie entdeckt, nämlich dass ein Verkehrsbetrieb sehr wohl entgegen den Vorgaben des Verkehrsverbundes mit der richtigen Hardware Daten speichern kann. Der VBB warb mit "höchsten Sicherheitsstandards" um Vertrauen, die einen Missbrauch unmöglich machen sollen. Weiter heißt es in dem alten PDF-Flyer: "Es ist weder technisch noch organisatorisch möglich, sogenannte Bewegungsprofile auf der Karte oder im System zu speichern". Tatsächlich muss diese Funktion von Anfang an vorgesehen gewesen sein, sonst wäre die missbräuchliche Speicherung von Bewegungspunkten nicht möglich.

Die Fahrcard ist kaputt

Das System hat also grundsätzliche Schwächen und wurde nicht, wie angegeben, so entwickelt, dass es unmöglich ist, Bewegungsprofile zu speichern und erst recht nicht, dass ein Nutzer eines NFC-Telefons an Daten herankommt, die - wenn überhaupt - nur ein berechtigtes Gerät auslesen dürfte. Die VBB-Fahrcard kann damit als kaputt eingestuft werden.


eye home zur Startseite
Sandeeh 30. Dez 2015

Und was soll daran das Problem bzw. der Missbrauch sein? Oder ist mit den Karten ein...

Vestkystdreng 30. Dez 2015

Hhm, riecht nach der dänischen "Rejsekort". Die ist auch NFC basiert, macht es möglich...

as (Golem.de) 29. Dez 2015

Hallo, Fahrcards werden bei der BVG in der Regel nicht kontrolliert, sondern der Leser...

KPG 29. Dez 2015

;-) Nicht genug. Ich kenne das Wort schon seit 30 Jahren und finde es recht witzig.

thorsten... 29. Dez 2015

Ist bei Mensa-Karten einiger Unis heute noch so, dass die diesen veralteten Mifare...



Anzeige

Stellenmarkt
  1. IT-Dienstleistungszentrum Berlin, Berlin
  2. über Hanseatisches Personalkontor Karlsruhe, Karlsruhe
  3. Swiss Post Solutions GmbH, Bamberg oder Hallstadt
  4. Robert Bosch GmbH, Leonberg


Anzeige
Hardware-Angebote
  1. (Core i5-6600K + Geforce GTX 1070 OC)
  2. (u. a. MSI Gaming X 8G, Evga ACX 3.0, Gainward Phoenix GS, Gigabyte G1 Gaming)
  3. (u. a. Asus GTX 1070 Strix OC, MSI GTX 1070 Gaming X 8G und Aero 8G OC)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Mehr dazu im aktuellen Whitepaper von Freudenberg IT
  3. Mehr dazu im aktuellen Whitepaper von IBM


  1. Marissa Mayer

    Yahoo-Chefin will bleiben

  2. 3D-Foto-App

    Seene wird eingestellt

  3. Radeon Pro SSG

    AMD zeigt Profi-Karte mit SSDs für ein TByte Videospeicher

  4. iCar

    Hardware-Experte Bob Mansfield soll Apples Auto bauen

  5. Here

    Apple soll "geheimes" Maps-Labor in Berlin betreiben

  6. Quadro P6000/P5000

    Nvidia kündigt Profi-Karten mit GP102-Vollausbau an

  7. Jahresgehalt

    Erfahrene Softwareentwickler verdienen 55.500 Euro

  8. Sync 3

    Ford bringt Carplay und Android Auto in alle 2017er-Modelle

  9. Netzwerk

    Mehrere regionale Mobilfunkausfälle bei Vodafone

  10. Hello Games

    No Man's Sky braucht kein Plus und keine Superformel



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Wolkenkratzer: Wer will schon 2.900 Stufen steigen?
Wolkenkratzer
Wer will schon 2.900 Stufen steigen?
  1. Hafen Die Schauerleute von heute sind riesig und automatisch
  2. Bahn Siemens verbessert Internet im Zug mit Funklochfenstern
  3. Fraunhofer-Institut Rekord mit Multi-Gigabit-Funk über 37 Kilometer

Festplatten mit Flash-Cache: Das Konzept der SSHD ist gescheitert
Festplatten mit Flash-Cache
Das Konzept der SSHD ist gescheitert
  1. Ironwolf, Skyhawk und Barracuda Drei neue 10-TByte-Modelle von Seagate
  2. 3PAR-Systeme HPE kündigt 7,68- und 15,36-TByte-SSDs an
  3. Dells XPS 13 mit Ubuntu im Test Endlich ein Top-Notebook mit Linux!

Nuki Smart Lock im Test: Ausgesperrt statt aufgesperrt
Nuki Smart Lock im Test
Ausgesperrt statt aufgesperrt

  1. Re: Ausbildung der Sicherheitskräfte ?!

    Der_aKKe | 10:27

  2. Re: B*llsh*t

    LordMcFungus | 10:27

  3. Re: Moorhuhn, Pornos, Masturbation, Vergewaltiger

    RicoBrassers | 10:26

  4. Re: Ich arbeite beim Staat (Öffentlicher Dienst)

    Oktavian | 10:26

  5. "30 Tage Zeit"

    ichbinsmalwieder | 10:24


  1. 10:27

  2. 10:19

  3. 10:10

  4. 07:37

  5. 07:18

  6. 22:45

  7. 18:35

  8. 17:31


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel