Abo
  • Services:
Anzeige
Die VBB-Fahrcard kann Bewegungspunkte speichern, obwohl dies laut VBB technisch unmöglich sein soll.
Die VBB-Fahrcard kann Bewegungspunkte speichern, obwohl dies laut VBB technisch unmöglich sein soll. (Bild: Andreas Sebayang/Golem.de)

VBB-Fahrcard: Berlins elektronische Fahrkarte speichert Bewegungsprofile

Die VBB-Fahrcard kann Bewegungspunkte speichern, obwohl dies laut VBB technisch unmöglich sein soll.
Die VBB-Fahrcard kann Bewegungspunkte speichern, obwohl dies laut VBB technisch unmöglich sein soll. (Bild: Andreas Sebayang/Golem.de)

Mit der überwiegend in Berlin, aber auch in Brandenburg eingesetzten VBB-Fahrcard können laut VBB keine Bewegungsprofile gespeichert werden. Wie sich nun herausgestellt hat, stimmt das nicht. Lesegeräte in BVG-Bussen speichern Bewegungspunkte auf der Fahrcard.
Von Andreas Sebayang

Wie der Fahrgastverband IGEB herausgefunden hat, lässt die VBB-Fahrcard entgegen den Aussagen der Herausgeber die Speicherung von Bewegungsprofilen zu. Laut einem PDF-Vorabbericht der Signal 6/2015 reicht es, die App Mytraq sowie ein NFC-fähiges Smartphone zu besitzen, um die Daten auszulesen. Der IGEB ist dafür testweise mit einem Bus der Linie 245 durch Berlin gefahren, dessen Lesegeräte offenbar auch Schreibfähigkeiten haben. Im Anschluss wurden die durch die Busse geschriebenen Daten ausgewertet. Im Ergebnis ließ sich nachvollziehen, wo der Fahrgast ein- und umstieg.

Anzeige

Diese Möglichkeit wurde bisher vom Verkehrsverbund Berlin-Brandenburg (VBB) dementiert. Dem IGEB wurde eigenen Angaben zufolge sogar technisches Unwissen vorgeworfen. Zudem: Selbst wenn die Daten gespeichert würden, wären sie sicher, hat der IGEB vom VBB erfahren. Beides hat sich als unwahr herausgestellt, denn mit einer App, die jeder herunterladen kann, lassen sich die Daten auslesen. Das verwundert. Uns erklärte Hersteller NXP schon früher, dass das Sicherheitsniveau ähnlich hoch sei wie beim neuen Personalausweis. Sprich: Tatsächlich dürfte niemand die unberechtigt geschriebenen Daten auch noch unberechtigt auslesen können.

Auch die Berliner Morgenpost bestätigt das Datenschutzproblem

Bestätigt wird der Bericht von der Berliner Morgenpost, die nach dem IGEB-Bericht einen eigenen Testlauf durchführte und auch eine Stellungnahme der BVG erhielt. Derzufolge wird die BVG jetzt innerhalb von zwei bis drei Tagen alle betroffenen Lesegeräte abschalten und den Hersteller um das Lösen des Problems bitten. Der Schwachpunkt sind offenbar die Bus-Lesegeräte, die die Daten schreiben. Andere Geräte sind nach derzeitigem Stand nicht betroffen. Voraussetzung ist allerdings, dass die Anwender der Karte diese auch an einem Lesegerät vorbeiführen. Dass Fahrcard-Besitzer das tun, ist aber unwahrscheinlich. Zum einen fehlt der Zwang und zum anderen sind die Lesegeräte unserer Erfahrung nach seit Monaten unzuverlässig. Wir sahen nur selten Nutzer, die aus Neugierde die Karte vorbeiführten. Dementsprechend dürften nur wenige Nutzer in der Praxis tatsächlich Bewegungsdaten gespeichert haben.

Für Anwender ist derzeit unklar, wie die auf der VBB-Fahrcard gespeicherten Daten gelöscht werden können. Ein Anruf von uns beim Service Center der BVG half nicht. Dort wusste man nichts von dem Problem mit den Bewegungsprofilen, hörte aber schon von dem Morgenpost-Artikel. Auch der Schichtleiter der Hotline war überrascht, wie man uns beim Support sagte. Man beteuerte trotzdem, nach derzeitigem Kenntnisstand sei es technisch unmöglich, Bewegungspunkte zu speichern. Die Mitarbeiter konnten sich gar nicht vorstellen, wie die Daten dort gespeichert werden sollen.

Der VBB versprach zu viel

Das beteuert auch der VBB seit Jahren. Die VBB-Fahrcard wird seit September 2011 getestet und seit September 2013 allgemein verteilt. In den mittlerweile vier Jahren Betrieb wurde die grundsätzliche Schwachstelle allerdings nie entdeckt, nämlich dass ein Verkehrsbetrieb sehr wohl entgegen den Vorgaben des Verkehrsverbundes mit der richtigen Hardware Daten speichern kann. Der VBB warb mit "höchsten Sicherheitsstandards" um Vertrauen, die einen Missbrauch unmöglich machen sollen. Weiter heißt es in dem alten PDF-Flyer: "Es ist weder technisch noch organisatorisch möglich, sogenannte Bewegungsprofile auf der Karte oder im System zu speichern". Tatsächlich muss diese Funktion von Anfang an vorgesehen gewesen sein, sonst wäre die missbräuchliche Speicherung von Bewegungspunkten nicht möglich.

Die Fahrcard ist kaputt

Das System hat also grundsätzliche Schwächen und wurde nicht, wie angegeben, so entwickelt, dass es unmöglich ist, Bewegungsprofile zu speichern und erst recht nicht, dass ein Nutzer eines NFC-Telefons an Daten herankommt, die - wenn überhaupt - nur ein berechtigtes Gerät auslesen dürfte. Die VBB-Fahrcard kann damit als kaputt eingestuft werden.


eye home zur Startseite
Sandeeh 30. Dez 2015

Und was soll daran das Problem bzw. der Missbrauch sein? Oder ist mit den Karten ein...

Vestkystdreng 30. Dez 2015

Hhm, riecht nach der dänischen "Rejsekort". Die ist auch NFC basiert, macht es möglich...

as (Golem.de) 29. Dez 2015

Hallo, Fahrcards werden bei der BVG in der Regel nicht kontrolliert, sondern der Leser...

KPG 29. Dez 2015

;-) Nicht genug. Ich kenne das Wort schon seit 30 Jahren und finde es recht witzig.

thorsten... 29. Dez 2015

Ist bei Mensa-Karten einiger Unis heute noch so, dass die diesen veralteten Mifare...



Anzeige

Stellenmarkt
  1. über JobLeads GmbH, Köln
  2. über JobLeads GmbH, Villingen-Schwenningen
  3. T-Systems International GmbH, verschiedene Standorte
  4. IT4IPM GmbH, Berlin


Anzeige
Hardware-Angebote
  1. 79,90€
  2. 184,90€ + 3,99€ Versand (Bestpreis!)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Stewart International Airport

    New Yorker Flughafen wohl ein Jahr schutzlos am Netz

  2. Blackberry Key One

    Android-Smartphone mit Hardware-Tastatur kostet viel

  3. Arrow Launcher 3.0

    Microsofts Android-Launcher braucht weniger Energie und RAM

  4. Die Woche im Video

    Angeswitcht, angegriffen, abgeturnt

  5. Hardlight VR Suit

    Vibrations-Weste soll VR-Erlebnis realistischer machen

  6. Autonomes Fahren

    Der Truck lernt beim Fahren

  7. Selektorenaffäre

    BND soll ausländische Journalisten ausspioniert haben

  8. Kursanstieg

    Bitcoin auf neuem Rekordhoch

  9. Google-Steuer

    Widerstand gegen Leistungsschutzrecht auf EU-Ebene

  10. Linux-Kernel

    Torvalds droht mit Nicht-Aufnahme von Treibercode



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Intel C2000: Weiter Unklarheit zur Häufung von NAS-Ausfällen
Intel C2000
Weiter Unklarheit zur Häufung von NAS-Ausfällen
  1. Super Bowl Lady Gaga singt unter einer Flagge aus Drohnen
  2. Lake Crest Intels Terminator-Chip mit Terabyte-Bandbreite
  3. Compute Card Intel plant Rechnermodul mit USB Type C

XPS 13 (9360) im Test: Wieder ein tolles Ultrabook von Dell
XPS 13 (9360) im Test
Wieder ein tolles Ultrabook von Dell
  1. Die Woche im Video Die Selbstzerstörungssequenz ist aktiviert
  2. XPS 13 Convertible im Hands on Dells 2-in-1 ist kompakter und kaum langsamer

Mechanische Tastatur Poker 3 im Test: "Kauf dir endlich Dämpfungsringe!"
Mechanische Tastatur Poker 3 im Test
"Kauf dir endlich Dämpfungsringe!"
  1. Patentantrag Apple denkt über Tastatur mit Siri-, Emoji- und Teilen-Taste nach
  2. MX Board Silent im Praxistest Der viel zu teure Feldversuch von Cherry
  3. Kanex Faltbare Bluetooth-Tastatur für mehrere Geräte gleichzeitig

  1. Re: Format?!

    violator | 11:24

  2. Wie löst man das Problem?

    Lemo | 11:20

  3. Re: Der Preis...

    ChMu | 10:23

  4. Re: Ich vermisse die Meckerer...

    Niaxa | 10:03

  5. Re: First World Problems

    ChMu | 10:02


  1. 10:41

  2. 20:21

  3. 11:57

  4. 09:02

  5. 18:02

  6. 17:43

  7. 16:49

  8. 16:21


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel