Abo
  • Services:

Wie viele Fahrgäste sind von dem Datenproblem der VBB-Fahrcard betroffen?

Die halbwegs gute Nachricht: Es ist nicht möglich, mehr als zehn Bewegungspunkte auf der Karte zu speichern. Das bestätigte uns der VBB. Das reicht allerdings, um den Arbeitsweg eines Fahrgastes mit dem Umweg über eine Kita für rund zwei Tage zu speichern. Hat der Lebenspartner das Kind auch wie gewünscht zur richtigen Uhrzeit abgeholt? Dank der BVG-Speichersysteme war es jedem möglich, das zu kontrollieren, der Zugang zur Fahrcard hatte.

Stellenmarkt
  1. Schwarz Zentrale Dienste KG, Heilbronn
  2. niiio finance group AG, deutschlandweit

Wie viele Kunden tatsächlich Bewegungspunkte auf ihren Karten haben, ist schwer einzuschätzen. Nicht viele nutzen die Lesegeräte in den Bussen, es gibt noch keine Pflicht zur Nutzung bei der BVG. Einige Testläufe gab es allerdings, wie vor etwa einem Jahr. Wir waren zufällig dabei, als ein BVG-Mitarbeiter alle Fahrcard-Nutzer einer Flughafen-Buslinie dazu bewegte, ihre Fahrcards an die Lesegeräte zu halten. Auch ist unklar, wie lange genau die BVG die Karte für das Speichern von Bewegungspunkten verwendet hat und wie viele weitere VBB-Mitglieder betroffen waren. Wahrscheinlich ist aber, dass Tausende Kunden betroffen sind.

Denn unsere Recherchen deuten darauf hin, dass das Problem seit Jahren und mindestens bei drei Verbundmitgliedern besteht: Auch die Oberhavel Verkehrsgesellschaft (OVG) und die Ostdeutsche Eisenbahn (ODEG) nutzten das E-Ticket nicht so, wie es vorgegeben wurde.

Auch andere VBB-Mitglieder speicherten Daten

Bei der Kontrolle der Fahrkarten beschrieben mindestens zwei weitere Mitglieder des VBB die Karten mit Daten. Bei der OVG handelte es sich dabei wie bei der BVG um Bewegungspunkte. Es gab einige Hinweise in Blogs und Foren darauf, dass die OVG ebenfalls speicherte, was der VBB uns dann in einer Stellungnahme bestätigte. In Ermangelung einer durch OVG-Busse beschriebenen Karte können wir allerdings nichts davon unabhängig verifizieren. Auch wie die Daten exakt aussehen, wissen wir nicht. Die im Vergleich zur BVG sehr kleine OVG hat laut VBB die Lesegeräte ebenfalls abgeschaltet, so dass weitere Recherchen nicht möglich sind.

Auf Hinweis eines Lesers konnten wir auch nachweisen, dass die ODEG zumindest vor zweieinhalb Jahren Daten auf der Karte gespeichert hat. Die ersten Einträge auf der Karte des Lesers, der regelmäßig mit ODEG-Regionalbahnen nach Berlin fährt, waren von August 2013 - nur acht Monate, nachdem das System als final freigegeben worden war. Die Karte zeigte volle zehn ODEG-Einträge. Es handelt sich allerdings nicht um Bewegungspunkte, sondern um Fehlerdaten, die nicht hätten geschrieben werden dürfen, wie uns die ODEG mitteilte. Was das genau bedeutet, sagte uns die ODEG nicht. Die Beispieldaten, die wir haben, lassen keinen Rückschluss auf die Verwendung zu. Das Feld für Positionsdaten sieht jedenfalls nicht nach einem Positionspunkt aus. Interessanterweise waren die Datensätze mit einer Berechtigungs-ID versehen, die der S-Bahn Berlin GmbH gehört. Ob schon früher als im August 2013 Daten gespeichert wurden, wissen wir nicht, da die letzten Einträge immer mit neuen überschrieben werden.

Die Probleme sind dem VBB schon lange bekannt

Dass die Fahrcards fehlerhaft beschrieben wurden, war der ODEG bereits 2013 bekannt, wie sie uns mitteilte. Noch im selben Jahr besprach sie demnach das Problem mit dem VBB. Zu diesem Zeitpunkt war also auch dem VBB klar: Die Karten sind beschreibbar - und vor allem kann alles Mögliche daraufgeschrieben werden. Die vorgesehenen Felder müssen nicht zwangsläufig mit Positionsdaten beschrieben werden. Es könnte im Prinzip alles gespeichert werden, es ist nur eine Frage der rechtzeitigen Erhebung der Daten. Trotzdem kommunizierte der VBB weiter an die Kunden, es sei technisch nicht möglich, etwa Bewegungsdaten auf den Karten zu speichern.

Genau vor dieser Gefahr warnte der Fahrgastverband IGEB noch im selben Jahr: Der VBB konterte damals aber nur, der IGEB habe nicht die technische Kompetenz, um die Gefahren zu beurteilen und entledigte sich so des Themas. Damals konnte der IGEB das Problem noch nicht beweisen, denn die Daten waren sicher vor fremdem Zugriff auf dem Chip geschützt. Dieser Schutz ist aber dank der Mytraq-App nun dem VBB verloren gegangen.

Ohne Informationen für die Öffentlichkeit wurde noch 2013 die Schreibfähigkeit seitens der ODEG hart abgeschaltet, wie anhand eines Transaktionslogs auch nachvollziehbar ist. Die Nutzung der Berechtigungs-ID kann die ODEG nicht erklären. Der VBB hat der ODEG auch keine ID zugewiesen. Das wundert uns, denn laut ODEG ist der VBB für die "Projektkoordination und technische Prüfung" zuständig. In solchen Systemen ist die Zuordnung von Berechtigungen schon aus Gründen der Fehlerursachensuche notwendig. Allerdings hat auch die BVG monatelang anonym ohne Berechtigungs-ID Karten beschrieben. Dass das überhaupt geht, ist eine Schwäche des Systems. Und die besteht bis heute.

 VBB-Fahrcard: Der Fehler steckt im SystemWer kann das Transaktionslog der Fahrcard auslesen? 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Anzeige
Blu-ray-Angebote
  1. (u. a. Game Night 5,98€, Maze Runner 6,98€, Coco 5,98€)
  2. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)

Proctrap 15. Feb 2016

Hello Troll

claudweb 12. Feb 2016

Habe es gestern ausprobiert, im RMV gibt es auch noch Busse die eine Kontrolle auf dem...

sradi 10. Feb 2016

Hallo, Wenn man die Daten so leicht auslesen kann. Ist es dann auch so einfach eine VBB...

Wechselgänger 10. Feb 2016

Aber das ist dann eben auch teurer. Und die BVG für schlechte Leistung oder...

Wechselgänger 10. Feb 2016

Es ist (bisher) nicht Pflicht, die Karte an die Lesegeräte zu halten. Nach meiner...


Folgen Sie uns
       


Reflections Raytracing Demo (RTX 2080 Ti vs. GTX 1080 Ti)

Wir haben die Reflections Raytracing Demo auf einer Nvidia Geforce RTX 2080 Ti und auf einer GTX 1080 Ti ablaufen lassen.

Reflections Raytracing Demo (RTX 2080 Ti vs. GTX 1080 Ti) Video aufrufen
Pixel 3 und Pixel 3 XL im Hands on: Googles Smartphones mit verbesserten Kamerafunktionen
Pixel 3 und Pixel 3 XL im Hands on
Googles Smartphones mit verbesserten Kamerafunktionen

Google hat das Pixel 3 und das Pixel 3 XL vorgestellt. Bei beiden neuen Smartphones legt das Unternehmen besonders hohen Wert auf die Kamerafunktionen. Mit viel Software-Raffinessen sollen gute Bilder auch unter widrigen Umständen entstehen. Die ersten Eindrücke sind vielversprechend.
Ein Hands on von Ingo Pakalski

  1. BQ Aquaris X2 Pro im Hands on Ein gelungenes Gesamtpaket mit Highend-Funktionen

Neuer Echo Dot im Test: Amazon kann doch gute Mini-Lautsprecher bauen
Neuer Echo Dot im Test
Amazon kann doch gute Mini-Lautsprecher bauen

Echo Dot steht bisher für muffigen, schlechten Klang. Mit dem neuen Modell zeigt Amazon, dass es doch gute smarte Mini-Lautsprecher mit dem Alexa-Sprachassistenten bauen kann, die sogar gegen die Konkurrenz von Google ankommen.
Ein Test von Ingo Pakalski


    Apple Watch im Test: Auch ohne EKG die beste Smartwatch
    Apple Watch im Test
    Auch ohne EKG die beste Smartwatch

    Apples vierte Watch verändert das Display-Design leicht - zum Wohle des Nutzers. Die Uhr bietet immer noch mit die beste Smartwatch-Erfahrung, auch wenn eine der neuen Funktionen in Deutschland noch nicht funktioniert.
    Ein Test von Tobias Költzsch

    1. Smartwatch Apple Watch Series 4 mit EKG und Sturzerkennung
    2. Smartwatch Apple Watch Series 4 nur mit sechs Modellen
    3. Handelskrieg Apple Watch und anderen Gadgets drohen Strafzölle

      •  /