Abo
  • Services:
Anzeige
Die VBB-Fahrcard kann Bewegungspunkte speichern, obwohl dies laut VBB technisch unmöglich sein soll.
Die VBB-Fahrcard kann Bewegungspunkte speichern, obwohl dies laut VBB technisch unmöglich sein soll. (Bild: Andreas Sebayang/Golem.de)

VBB-Fahrcard: Berlins elektronische Fahrkarte speichert Bewegungsprofile

Die VBB-Fahrcard kann Bewegungspunkte speichern, obwohl dies laut VBB technisch unmöglich sein soll.
Die VBB-Fahrcard kann Bewegungspunkte speichern, obwohl dies laut VBB technisch unmöglich sein soll. (Bild: Andreas Sebayang/Golem.de)

Mit der überwiegend in Berlin, aber auch in Brandenburg eingesetzten VBB-Fahrcard können laut VBB keine Bewegungsprofile gespeichert werden. Wie sich nun herausgestellt hat, stimmt das nicht. Lesegeräte in BVG-Bussen speichern Bewegungspunkte auf der Fahrcard.
Von Andreas Sebayang

Wie der Fahrgastverband IGEB herausgefunden hat, lässt die VBB-Fahrcard entgegen den Aussagen der Herausgeber die Speicherung von Bewegungsprofilen zu. Laut einem PDF-Vorabbericht der Signal 6/2015 reicht es, die App Mytraq sowie ein NFC-fähiges Smartphone zu besitzen, um die Daten auszulesen. Der IGEB ist dafür testweise mit einem Bus der Linie 245 durch Berlin gefahren, dessen Lesegeräte offenbar auch Schreibfähigkeiten haben. Im Anschluss wurden die durch die Busse geschriebenen Daten ausgewertet. Im Ergebnis ließ sich nachvollziehen, wo der Fahrgast ein- und umstieg.

Anzeige

Diese Möglichkeit wurde bisher vom Verkehrsverbund Berlin-Brandenburg (VBB) dementiert. Dem IGEB wurde eigenen Angaben zufolge sogar technisches Unwissen vorgeworfen. Zudem: Selbst wenn die Daten gespeichert würden, wären sie sicher, hat der IGEB vom VBB erfahren. Beides hat sich als unwahr herausgestellt, denn mit einer App, die jeder herunterladen kann, lassen sich die Daten auslesen. Das verwundert. Uns erklärte Hersteller NXP schon früher, dass das Sicherheitsniveau ähnlich hoch sei wie beim neuen Personalausweis. Sprich: Tatsächlich dürfte niemand die unberechtigt geschriebenen Daten auch noch unberechtigt auslesen können.

Auch die Berliner Morgenpost bestätigt das Datenschutzproblem

Bestätigt wird der Bericht von der Berliner Morgenpost, die nach dem IGEB-Bericht einen eigenen Testlauf durchführte und auch eine Stellungnahme der BVG erhielt. Derzufolge wird die BVG jetzt innerhalb von zwei bis drei Tagen alle betroffenen Lesegeräte abschalten und den Hersteller um das Lösen des Problems bitten. Der Schwachpunkt sind offenbar die Bus-Lesegeräte, die die Daten schreiben. Andere Geräte sind nach derzeitigem Stand nicht betroffen. Voraussetzung ist allerdings, dass die Anwender der Karte diese auch an einem Lesegerät vorbeiführen. Dass Fahrcard-Besitzer das tun, ist aber unwahrscheinlich. Zum einen fehlt der Zwang und zum anderen sind die Lesegeräte unserer Erfahrung nach seit Monaten unzuverlässig. Wir sahen nur selten Nutzer, die aus Neugierde die Karte vorbeiführten. Dementsprechend dürften nur wenige Nutzer in der Praxis tatsächlich Bewegungsdaten gespeichert haben.

Für Anwender ist derzeit unklar, wie die auf der VBB-Fahrcard gespeicherten Daten gelöscht werden können. Ein Anruf von uns beim Service Center der BVG half nicht. Dort wusste man nichts von dem Problem mit den Bewegungsprofilen, hörte aber schon von dem Morgenpost-Artikel. Auch der Schichtleiter der Hotline war überrascht, wie man uns beim Support sagte. Man beteuerte trotzdem, nach derzeitigem Kenntnisstand sei es technisch unmöglich, Bewegungspunkte zu speichern. Die Mitarbeiter konnten sich gar nicht vorstellen, wie die Daten dort gespeichert werden sollen.

Der VBB versprach zu viel

Das beteuert auch der VBB seit Jahren. Die VBB-Fahrcard wird seit September 2011 getestet und seit September 2013 allgemein verteilt. In den mittlerweile vier Jahren Betrieb wurde die grundsätzliche Schwachstelle allerdings nie entdeckt, nämlich dass ein Verkehrsbetrieb sehr wohl entgegen den Vorgaben des Verkehrsverbundes mit der richtigen Hardware Daten speichern kann. Der VBB warb mit "höchsten Sicherheitsstandards" um Vertrauen, die einen Missbrauch unmöglich machen sollen. Weiter heißt es in dem alten PDF-Flyer: "Es ist weder technisch noch organisatorisch möglich, sogenannte Bewegungsprofile auf der Karte oder im System zu speichern". Tatsächlich muss diese Funktion von Anfang an vorgesehen gewesen sein, sonst wäre die missbräuchliche Speicherung von Bewegungspunkten nicht möglich.

Die Fahrcard ist kaputt

Das System hat also grundsätzliche Schwächen und wurde nicht, wie angegeben, so entwickelt, dass es unmöglich ist, Bewegungsprofile zu speichern und erst recht nicht, dass ein Nutzer eines NFC-Telefons an Daten herankommt, die - wenn überhaupt - nur ein berechtigtes Gerät auslesen dürfte. Die VBB-Fahrcard kann damit als kaputt eingestuft werden.


eye home zur Startseite
Sandeeh 30. Dez 2015

Und was soll daran das Problem bzw. der Missbrauch sein? Oder ist mit den Karten ein...

Vestkystdreng 30. Dez 2015

Hhm, riecht nach der dänischen "Rejsekort". Die ist auch NFC basiert, macht es möglich...

as (Golem.de) 29. Dez 2015

Hallo, Fahrcards werden bei der BVG in der Regel nicht kontrolliert, sondern der Leser...

KPG 29. Dez 2015

;-) Nicht genug. Ich kenne das Wort schon seit 30 Jahren und finde es recht witzig.

thorsten... 29. Dez 2015

Ist bei Mensa-Karten einiger Unis heute noch so, dass die diesen veralteten Mifare...



Anzeige

Stellenmarkt
  1. Daimler AG, Stuttgart
  2. Wüstenrot & Württembergische AG, Stuttgart
  3. M&C TechGroup Germany GmbH, Ratingen
  4. BRZ Deutschland GmbH, Nürnberg


Anzeige
Blu-ray-Angebote
  1. 49,99€ mit Vorbesteller-Preisgarantie
  2. 27,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Elektrorennwagen

    VW will elektrisch auf den Pikes Peak

  2. Messung

    Über 23.000 Funklöcher in Brandenburg

  3. Star Wars Battlefront 2 Angespielt

    Sternenkrieger-Kampagne rund um den Todesstern

  4. Nach Wahlniederlage

    Netzpolitiker Klingbeil soll SPD-Generalsekrektär werden

  5. Adasky

    Autonome Autos sollen im Infrarot-Bereich sehen

  6. Münsterland

    Deutsche Glasfaser baut weiter in Nordrhein-Westfalen aus

  7. Infineon

    BSI zertifiziert unsichere Verschlüsselung

  8. R-PHY- und R-MACPHY

    Kabelnetzbetreiber müssen sich nicht mehr festlegen

  9. ePrivacy-Verordnung

    Ausschuss votiert für Tracking-Schutz und Verschlüsselung

  10. Lifetab X10605 und X10607

    LTE-Tablets direkt bei Medion bestellen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Flettner-Rotoren: Wie Schiffe mit Stahlsegeln Treibstoff sparen
Flettner-Rotoren
Wie Schiffe mit Stahlsegeln Treibstoff sparen
  1. Hyperflight China plant superschnellen Vactrain
  2. Sea Bubbles Tragflächen-Elektroboote kommen nach Paris
  3. Honolulu Strafe für Handynutzung auf der Straße

Cybercrime: Neun Jahre Jagd auf Bayrob
Cybercrime
Neun Jahre Jagd auf Bayrob
  1. Antivirus Symantec will keine Code-Reviews durch Regierungen mehr
  2. Verschlüsselung Google schmeißt Symantec aus Chrome raus
  3. Übernahme Digicert kauft Zertifikatssparte von Symantec

Passwortmanager im Vergleich: Das letzte Passwort, das du dir jemals merken musst
Passwortmanager im Vergleich
Das letzte Passwort, das du dir jemals merken musst
  1. 30.000 US-Dollar Schaden Admin wegen Sabotage nach Kündigung verurteilt
  2. Cyno Sure Prime Passwortcracker nehmen Troy Hunts Hashes auseinander
  3. Passwortmanager Lastpass ab sofort doppelt so teuer

  1. Re: Gesichtserkennung unsicherere Fingerabdruckleser?

    FoxCore | 22:32

  2. Re: Verkrüppelter Nautilus-Dateimanager

    Thaodan | 22:31

  3. Doch die Studie basiert auf Recherchen ...

    hjp | 22:31

  4. Re: Schade.

    Afinda | 22:30

  5. Re: Ist das relevant? Wir haben jedes Jahr 15000...

    azeu | 22:25


  1. 18:37

  2. 18:18

  3. 18:03

  4. 17:50

  5. 17:35

  6. 17:20

  7. 17:05

  8. 15:42


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel