Abo
  • IT-Karriere:

VBB-Fahrcard: Berlins elektronische Fahrkarte speichert Bewegungsprofile

Mit der überwiegend in Berlin, aber auch in Brandenburg eingesetzten VBB-Fahrcard können laut VBB keine Bewegungsprofile gespeichert werden. Wie sich nun herausgestellt hat, stimmt das nicht. Lesegeräte in BVG-Bussen speichern Bewegungspunkte auf der Fahrcard.

Artikel von veröffentlicht am
Die VBB-Fahrcard kann Bewegungspunkte speichern, obwohl dies laut VBB technisch unmöglich sein soll.
Die VBB-Fahrcard kann Bewegungspunkte speichern, obwohl dies laut VBB technisch unmöglich sein soll. (Bild: Andreas Sebayang/Golem.de)

Wie der Fahrgastverband IGEB herausgefunden hat, lässt die VBB-Fahrcard entgegen den Aussagen der Herausgeber die Speicherung von Bewegungsprofilen zu. Laut einem PDF-Vorabbericht der Signal 6/2015 reicht es, die App Mytraq sowie ein NFC-fähiges Smartphone zu besitzen, um die Daten auszulesen. Der IGEB ist dafür testweise mit einem Bus der Linie 245 durch Berlin gefahren, dessen Lesegeräte offenbar auch Schreibfähigkeiten haben. Im Anschluss wurden die durch die Busse geschriebenen Daten ausgewertet. Im Ergebnis ließ sich nachvollziehen, wo der Fahrgast ein- und umstieg.

Stellenmarkt
  1. MTU Friedrichshafen GmbH, Friedrichshafen
  2. Rabobank International Frankfurt Branch, Frankfurt am Main

Diese Möglichkeit wurde bisher vom Verkehrsverbund Berlin-Brandenburg (VBB) dementiert. Dem IGEB wurde eigenen Angaben zufolge sogar technisches Unwissen vorgeworfen. Zudem: Selbst wenn die Daten gespeichert würden, wären sie sicher, hat der IGEB vom VBB erfahren. Beides hat sich als unwahr herausgestellt, denn mit einer App, die jeder herunterladen kann, lassen sich die Daten auslesen. Das verwundert. Uns erklärte Hersteller NXP schon früher, dass das Sicherheitsniveau ähnlich hoch sei wie beim neuen Personalausweis. Sprich: Tatsächlich dürfte niemand die unberechtigt geschriebenen Daten auch noch unberechtigt auslesen können.

Auch die Berliner Morgenpost bestätigt das Datenschutzproblem

Bestätigt wird der Bericht von der Berliner Morgenpost, die nach dem IGEB-Bericht einen eigenen Testlauf durchführte und auch eine Stellungnahme der BVG erhielt. Derzufolge wird die BVG jetzt innerhalb von zwei bis drei Tagen alle betroffenen Lesegeräte abschalten und den Hersteller um das Lösen des Problems bitten. Der Schwachpunkt sind offenbar die Bus-Lesegeräte, die die Daten schreiben. Andere Geräte sind nach derzeitigem Stand nicht betroffen. Voraussetzung ist allerdings, dass die Anwender der Karte diese auch an einem Lesegerät vorbeiführen. Dass Fahrcard-Besitzer das tun, ist aber unwahrscheinlich. Zum einen fehlt der Zwang und zum anderen sind die Lesegeräte unserer Erfahrung nach seit Monaten unzuverlässig. Wir sahen nur selten Nutzer, die aus Neugierde die Karte vorbeiführten. Dementsprechend dürften nur wenige Nutzer in der Praxis tatsächlich Bewegungsdaten gespeichert haben.

Für Anwender ist derzeit unklar, wie die auf der VBB-Fahrcard gespeicherten Daten gelöscht werden können. Ein Anruf von uns beim Service Center der BVG half nicht. Dort wusste man nichts von dem Problem mit den Bewegungsprofilen, hörte aber schon von dem Morgenpost-Artikel. Auch der Schichtleiter der Hotline war überrascht, wie man uns beim Support sagte. Man beteuerte trotzdem, nach derzeitigem Kenntnisstand sei es technisch unmöglich, Bewegungspunkte zu speichern. Die Mitarbeiter konnten sich gar nicht vorstellen, wie die Daten dort gespeichert werden sollen.

Der VBB versprach zu viel

Das beteuert auch der VBB seit Jahren. Die VBB-Fahrcard wird seit September 2011 getestet und seit September 2013 allgemein verteilt. In den mittlerweile vier Jahren Betrieb wurde die grundsätzliche Schwachstelle allerdings nie entdeckt, nämlich dass ein Verkehrsbetrieb sehr wohl entgegen den Vorgaben des Verkehrsverbundes mit der richtigen Hardware Daten speichern kann. Der VBB warb mit "höchsten Sicherheitsstandards" um Vertrauen, die einen Missbrauch unmöglich machen sollen. Weiter heißt es in dem alten PDF-Flyer: "Es ist weder technisch noch organisatorisch möglich, sogenannte Bewegungsprofile auf der Karte oder im System zu speichern". Tatsächlich muss diese Funktion von Anfang an vorgesehen gewesen sein, sonst wäre die missbräuchliche Speicherung von Bewegungspunkten nicht möglich.

Die Fahrcard ist kaputt

Das System hat also grundsätzliche Schwächen und wurde nicht, wie angegeben, so entwickelt, dass es unmöglich ist, Bewegungsprofile zu speichern und erst recht nicht, dass ein Nutzer eines NFC-Telefons an Daten herankommt, die - wenn überhaupt - nur ein berechtigtes Gerät auslesen dürfte. Die VBB-Fahrcard kann damit als kaputt eingestuft werden.



Anzeige
Top-Angebote
  1. 19,99€
  2. 124,99€ (Bestpreis!)
  3. 61,80€
  4. (u. a. Football Manager 2019 für 17,99€, Car Mechanic Simulator 2018 für 7,99€, Forza Horizon...

Sandeeh 30. Dez 2015

Und was soll daran das Problem bzw. der Missbrauch sein? Oder ist mit den Karten ein...

Vestkystdreng 30. Dez 2015

Hhm, riecht nach der dänischen "Rejsekort". Die ist auch NFC basiert, macht es möglich...

as (Golem.de) 29. Dez 2015

Hallo, Fahrcards werden bei der BVG in der Regel nicht kontrolliert, sondern der Leser...

KPG 29. Dez 2015

;-) Nicht genug. Ich kenne das Wort schon seit 30 Jahren und finde es recht witzig.

thorsten... 29. Dez 2015

Ist bei Mensa-Karten einiger Unis heute noch so, dass die diesen veralteten Mifare...


Folgen Sie uns
       


Asrock DeskMini A300 - Test

Der DeskMini A300 von Asrock ist ein Mini-PC mit weniger als zwei Litern Volumen. Der kleine Rechner basiert auf einer Platine mit Sockel AM4 und eignet sich daher für Raven-Ridge-Chips wie den Athlon 200GE oder den Ryzen 5 2400G.

Asrock DeskMini A300 - Test Video aufrufen
IT-Headhunter: ReactJS- und PHP-Experten verzweifelt gesucht
IT-Headhunter
ReactJS- und PHP-Experten verzweifelt gesucht

Marco Nadol vermittelt für Hays selbstständige Informatiker, Programmierer und Ingenieure in Unternehmen. Aus langjähriger Erfahrung als IT-Headhunter weiß er mittlerweile sehr gut, was ihre Chancen auf dem Markt erhöht und was sie verschlechtert.
Von Maja Hoock

  1. Jobporträt Wenn die Software für den Anwalt kurzen Prozess macht
  2. Struktrurwandel IT soll jetzt die Kohle nach Cottbus bringen
  3. IT-Jobporträt Spieleprogrammierer "Ich habe mehr Code gelöscht als geschrieben"

Homeoffice: Wenn der Arbeitsplatz so anonym ist wie das Internet selbst
Homeoffice
Wenn der Arbeitsplatz so anonym ist wie das Internet selbst

Homeoffice verspricht Freiheit und Flexibilität für die Mitarbeiter und Effizienzsteigerung fürs Unternehmen - und die IT-Branche ist dafür bestens geeignet. Doch der reine Online-Kontakt bringt auch Probleme mit sich.
Ein Erfahrungsbericht von Marvin Engel

  1. Bundesagentur für Arbeit Informatikjobs bleiben 132 Tage unbesetzt
  2. IT-Berufe Bin ich Freiberufler oder Gewerbetreibender?
  3. Milla Bund sagt Pläne für KI-gesteuerte Weiterbildungsplattform ab

Mordhau angespielt: Die mit dem Schwertknauf zuschlagen
Mordhau angespielt
Die mit dem Schwertknauf zuschlagen

Ein herausfordernd-komplexes Kampfsystem, trotzdem schnelle Action mit Anleihen bei Chivalry und For Honor: Das vom Entwicklerstudio Triternion produzierte Mordhau schickt Spieler in mittelalterlich anmutende Multiplayergefechte mit klirrenden Schwertern und hohem Spaßfaktor.
Von Peter Steinlechner

  1. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle
  2. Bright Memory angespielt Brachialer PC-Shooter aus China

    •  /