Anzeige
Vor allem Eindecker der BVG speichern Bewegungspunkte auf der VBB-Fahrcard.
Vor allem Eindecker der BVG speichern Bewegungspunkte auf der VBB-Fahrcard. (Bild: Andreas Sebayang/Golem.de)

VBB-Fahrcard: Der Fehler steckt im System

Vor allem Eindecker der BVG speichern Bewegungspunkte auf der VBB-Fahrcard.
Vor allem Eindecker der BVG speichern Bewegungspunkte auf der VBB-Fahrcard. (Bild: Andreas Sebayang/Golem.de)

Verwirrende Aussagen, keine Lösungen, keine Information an die Betroffenen: Dass Bewegungsdaten auf VBB-Fahrcards beschrieben werden können, hat der Verkehrsverbund Berlin-Brandenburg bestritten, bis das Gegenteil bewiesen wurde. Ähnlich reagiert er auf weitere Erkenntnisse von Golem.de.

Auf der elektronischen Fahrkarte werden keine Bewegungsdaten gespeichert, so versprach es der Verkehrsverbund Berlin-Brandenburg (VBB) in einer Werbebroschüre, die 2012 erschienen ist und noch bis vor kurzem verteilt wurde. Dass das zumindest für die Berliner Verkehrsgesellschaft BVG unwahr ist, wurde vor einigen Monaten aufgedeckt. Doch das Problem ist noch größer als gedacht: Wie Golem.de recherchiert hat, ist nicht nur die BVG involviert. Mindestens zwei weitere Mitglieder des Verkehrsverbundes haben Fahrgastdaten auf den elektronischen Fahrkarten gespeichert. Und das Problem gibt es nicht erst seit einigen Monaten, sondern seit Jahren.

Anzeige

Der eigentliche Skandal ist allerdings die Informationspolitik des VBB. Jahrelang wurden Kunden falsch informiert. Es wurde beteuert, es sei technisch unmöglich, Bewegungsprofile auf den Karten zu speichern. Auch die Antworten des VBB und einzelner Mitglieder des Verbundes auf unsere Anfragen sowie die öffentlichen Informationen sind widersprüchlich und verwirrend. Immerhin: Bald können die Daten aus dem E-Ticket gelöscht werden - das geht zwar auch jetzt schon, aber nicht ohne die Schere eines Kundenzentrums.

Wie die BVG beim Kartenmissbrauch erwischt wurde

Bekannt wurde die Speicherung von Bewegungsdaten auf elektronischen Fahrkarten nur, weil der Verkehrsverbund erwischt wurde. Heute ist klar: Der VDV-Standard für E-Tickets sah von Anfang an die Speicherung von Daten in ein sogenanntes Transaktionslogbuch vor - inklusive Bewegungsdaten. Dass die Karten dies prinzipiell können, bestätigte uns nun auch der VBB auf Nachfrage. Und auch Netzpolitik.org zitiert die BVG wie folgt: "Die BVG hat zwar beim Hersteller diese Funktion nicht beauftragt, jedoch hat dieser die in der (((e-Ticket-Deutschland-Spezifikation beschriebenen Funktionen spezifikationskonform in das Testsystem implementiert."

Dass die Speicherung tatsächlich möglich ist, fiel zunächst beim VBB-Mitglied BVG auf. Der Fahrgastverband IGEB veröffentlichte im Dezember 2015 seine Recherchen. Demnach speicherten Busse des Berliner Verkehrsunternehmens Bewegungspunkte, aus denen sich sehr einfach Bewegungsprofile erstellen lassen und die jedermann mit günstigem Equipment auslesen kann. Voraussetzung war nur die Kontrolle über ein Lesegerät in den Bussen. Die vermeintlichen Lesegeräte schrieben Positionsdaten beim Einstieg auf die Karte.

Die Karten entsprachen zwar angeblich "höchsten Sicherheitsstandards", doch der VBB hatte die Kontrolle über den Schlüssel zum Lesen offenbar verloren. Warum der Leseschlüssel über eine App für jeden verfügbar ist, wollte uns der VBB nicht sagen. Die Mytraq-App ermöglicht jedenfalls ein einfaches Auslesen der von der BVG gespeicherten Daten mit vielen Smartphones. Die BVG sprach von einer Fehlfunktion, die wenige Tage nach Veröffentlichung durch den IGEB und diverse Lokalredaktionen beseitigt wurde. Die Lesegeräte der Busse wurden kurzerhand abgeschaltet.

Unsere eigenen Recherchen zeigten damals allerdings, dass das Problem schon viel länger als seit Dezember 2015 bestand, mindestens seit April 2015. Anfangs wurden Daten sogar anonym und ohne Berechtigungs-ID gespeichert. Mitte 2015 beseitigte die BVG das Berechtigungsproblem, wie wir herausfanden, und speicherte Positionsdaten mitsamt Berechtigungs-ID auf der VBB-Fahrcard. Insgesamt konnten wir so klar nachweisen, dass es technisch und organisatorisch sehr wohl möglich ist, die Daten für die Aufbereitung von Bewegungsprofilen zu nutzen. Zudem zeigten die Fehlerbehebungen an dem Schreibprozess, dass hier auch bekannt war, dass Daten geschrieben wurden.

Wie viele Fahrgäste sind von dem Datenproblem der VBB-Fahrcard betroffen? 

eye home zur Startseite
Proctrap 15. Feb 2016

Hello Troll

claudweb 12. Feb 2016

Habe es gestern ausprobiert, im RMV gibt es auch noch Busse die eine Kontrolle auf dem...

sradi 10. Feb 2016

Hallo, Wenn man die Daten so leicht auslesen kann. Ist es dann auch so einfach eine VBB...

Wechselgänger 10. Feb 2016

Aber das ist dann eben auch teurer. Und die BVG für schlechte Leistung oder...

Wechselgänger 10. Feb 2016

Es ist (bisher) nicht Pflicht, die Karte an die Lesegeräte zu halten. Nach meiner...

Kommentieren



Anzeige

  1. Systemarchitekt/in
    Robert Bosch GmbH, Leonberg
  2. CIO / Head of IT (m/w)
    über JobLeads GmbH, Bodensee
  3. Software Architekt (m/w)
    Haufe Gruppe, Bielefeld
  4. IT - (SAP) und Prozess-Experte für ein Konditions-Management der nächsten Generation (m/w)
    Media-Saturn IT-Services GmbH, Ingolstadt

Detailsuche



Anzeige

Folgen Sie uns
       


  1. Gehalt.de

    Was Frauen in IT-Jobs verdienen

  2. Kurzstreckenflüge

    Lufthansa verspricht 15 MBit/s für jeden an Bord

  3. Anonymisierungsprojekt

    Darf ein Ex-Geheimdienstler für Tor arbeiten?

  4. Schalke 04

    Erst League of Legends und nun Fifa

  5. Patentverletzungen

    Qualcomm verklagt Meizu

  6. Deep Learning

    Algorithmus sagt menschliche Verhaltensweisen voraus

  7. Bungie

    Destiny-Karriere auf PS3 und Xbox 360 endet im August 2016

  8. Vive-Headset

    HTC muss sich auf Virtual Reality verlassen

  9. Mobilfunk

    Datenvolumen steigt während EM-Spiel um 25 Prozent

  10. Software Guard Extentions

    Linux-Code kann auf Intel-CPUs besser geschützt werden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Smart City: Der Bürger gestaltet mit
Smart City
Der Bürger gestaltet mit
  1. Vernetztes Fahren Bosch will (fast) alle Parkplatzprobleme lösen

Vorratsdatenspeicherung: Vorgaben übertreffen laut Eco "schlimmste Befürchtungen"
Vorratsdatenspeicherung
Vorgaben übertreffen laut Eco "schlimmste Befürchtungen"
  1. Vorratsdatenspeicherung Alarm im VDS-Tresor
  2. Neue Snowden-Dokumente NSA lobte Deutschlands "wesentliche" Hilfe im Irak-Krieg
  3. Klage Verwaltungsgericht soll Vorratsdatenspeicherung stoppen

Rust: Ist die neue Programmiersprache besser?
Rust
Ist die neue Programmiersprache besser?
  1. Oracle-Anwältin nach Niederlage "Google hat die GPL getötet"
  2. Java-Rechtsstreit Oracle verliert gegen Google
  3. Oracle vs. Google Wie man Geschworene am besten verwirrt

  1. Re: In 24 Jahren IT habe ich noch keine IT...

    Dadie | 03:14

  2. Re: Tor ist unsicher geworden

    Pjörn | 03:04

  3. Re: Leidige Frage - gleiche Arbeit, gleicher Lohn

    slead | 03:00

  4. Re: es wird mit keinem wort erwähnt...

    Unix_Linux | 02:27

  5. Re: Wow...

    Unix_Linux | 02:24


  1. 18:37

  2. 17:43

  3. 17:29

  4. 16:56

  5. 16:40

  6. 16:18

  7. 16:00

  8. 15:47


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel