• IT-Karriere:
  • Services:

Wie viele Fahrgäste sind von dem Datenproblem der VBB-Fahrcard betroffen?

Die halbwegs gute Nachricht: Es ist nicht möglich, mehr als zehn Bewegungspunkte auf der Karte zu speichern. Das bestätigte uns der VBB. Das reicht allerdings, um den Arbeitsweg eines Fahrgastes mit dem Umweg über eine Kita für rund zwei Tage zu speichern. Hat der Lebenspartner das Kind auch wie gewünscht zur richtigen Uhrzeit abgeholt? Dank der BVG-Speichersysteme war es jedem möglich, das zu kontrollieren, der Zugang zur Fahrcard hatte.

Stellenmarkt
  1. KiKxxl GmbH, Osnabrück
  2. RENK AG, Augsburg

Wie viele Kunden tatsächlich Bewegungspunkte auf ihren Karten haben, ist schwer einzuschätzen. Nicht viele nutzen die Lesegeräte in den Bussen, es gibt noch keine Pflicht zur Nutzung bei der BVG. Einige Testläufe gab es allerdings, wie vor etwa einem Jahr. Wir waren zufällig dabei, als ein BVG-Mitarbeiter alle Fahrcard-Nutzer einer Flughafen-Buslinie dazu bewegte, ihre Fahrcards an die Lesegeräte zu halten. Auch ist unklar, wie lange genau die BVG die Karte für das Speichern von Bewegungspunkten verwendet hat und wie viele weitere VBB-Mitglieder betroffen waren. Wahrscheinlich ist aber, dass Tausende Kunden betroffen sind.

Denn unsere Recherchen deuten darauf hin, dass das Problem seit Jahren und mindestens bei drei Verbundmitgliedern besteht: Auch die Oberhavel Verkehrsgesellschaft (OVG) und die Ostdeutsche Eisenbahn (ODEG) nutzten das E-Ticket nicht so, wie es vorgegeben wurde.

Auch andere VBB-Mitglieder speicherten Daten

Bei der Kontrolle der Fahrkarten beschrieben mindestens zwei weitere Mitglieder des VBB die Karten mit Daten. Bei der OVG handelte es sich dabei wie bei der BVG um Bewegungspunkte. Es gab einige Hinweise in Blogs und Foren darauf, dass die OVG ebenfalls speicherte, was der VBB uns dann in einer Stellungnahme bestätigte. In Ermangelung einer durch OVG-Busse beschriebenen Karte können wir allerdings nichts davon unabhängig verifizieren. Auch wie die Daten exakt aussehen, wissen wir nicht. Die im Vergleich zur BVG sehr kleine OVG hat laut VBB die Lesegeräte ebenfalls abgeschaltet, so dass weitere Recherchen nicht möglich sind.

Auf Hinweis eines Lesers konnten wir auch nachweisen, dass die ODEG zumindest vor zweieinhalb Jahren Daten auf der Karte gespeichert hat. Die ersten Einträge auf der Karte des Lesers, der regelmäßig mit ODEG-Regionalbahnen nach Berlin fährt, waren von August 2013 - nur acht Monate, nachdem das System als final freigegeben worden war. Die Karte zeigte volle zehn ODEG-Einträge. Es handelt sich allerdings nicht um Bewegungspunkte, sondern um Fehlerdaten, die nicht hätten geschrieben werden dürfen, wie uns die ODEG mitteilte. Was das genau bedeutet, sagte uns die ODEG nicht. Die Beispieldaten, die wir haben, lassen keinen Rückschluss auf die Verwendung zu. Das Feld für Positionsdaten sieht jedenfalls nicht nach einem Positionspunkt aus. Interessanterweise waren die Datensätze mit einer Berechtigungs-ID versehen, die der S-Bahn Berlin GmbH gehört. Ob schon früher als im August 2013 Daten gespeichert wurden, wissen wir nicht, da die letzten Einträge immer mit neuen überschrieben werden.

Die Probleme sind dem VBB schon lange bekannt

Dass die Fahrcards fehlerhaft beschrieben wurden, war der ODEG bereits 2013 bekannt, wie sie uns mitteilte. Noch im selben Jahr besprach sie demnach das Problem mit dem VBB. Zu diesem Zeitpunkt war also auch dem VBB klar: Die Karten sind beschreibbar - und vor allem kann alles Mögliche daraufgeschrieben werden. Die vorgesehenen Felder müssen nicht zwangsläufig mit Positionsdaten beschrieben werden. Es könnte im Prinzip alles gespeichert werden, es ist nur eine Frage der rechtzeitigen Erhebung der Daten. Trotzdem kommunizierte der VBB weiter an die Kunden, es sei technisch nicht möglich, etwa Bewegungsdaten auf den Karten zu speichern.

Genau vor dieser Gefahr warnte der Fahrgastverband IGEB noch im selben Jahr: Der VBB konterte damals aber nur, der IGEB habe nicht die technische Kompetenz, um die Gefahren zu beurteilen und entledigte sich so des Themas. Damals konnte der IGEB das Problem noch nicht beweisen, denn die Daten waren sicher vor fremdem Zugriff auf dem Chip geschützt. Dieser Schutz ist aber dank der Mytraq-App nun dem VBB verloren gegangen.

Ohne Informationen für die Öffentlichkeit wurde noch 2013 die Schreibfähigkeit seitens der ODEG hart abgeschaltet, wie anhand eines Transaktionslogs auch nachvollziehbar ist. Die Nutzung der Berechtigungs-ID kann die ODEG nicht erklären. Der VBB hat der ODEG auch keine ID zugewiesen. Das wundert uns, denn laut ODEG ist der VBB für die "Projektkoordination und technische Prüfung" zuständig. In solchen Systemen ist die Zuordnung von Berechtigungen schon aus Gründen der Fehlerursachensuche notwendig. Allerdings hat auch die BVG monatelang anonym ohne Berechtigungs-ID Karten beschrieben. Dass das überhaupt geht, ist eine Schwäche des Systems. Und die besteht bis heute.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 VBB-Fahrcard: Der Fehler steckt im SystemWer kann das Transaktionslog der Fahrcard auslesen? 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Anzeige
Top-Angebote
  1. (u. a. Konstruktionsspielzeug von LEGO)
  2. (u. a. MSI GeForce RTX 3060 VENTUS 3X OC 12G für 589€)

Proctrap 15. Feb 2016

Hello Troll

claudweb 12. Feb 2016

Habe es gestern ausprobiert, im RMV gibt es auch noch Busse die eine Kontrolle auf dem...

sradi 10. Feb 2016

Hallo, Wenn man die Daten so leicht auslesen kann. Ist es dann auch so einfach eine VBB...

Wechselgänger 10. Feb 2016

Aber das ist dann eben auch teurer. Und die BVG für schlechte Leistung oder...

Wechselgänger 10. Feb 2016

Es ist (bisher) nicht Pflicht, die Karte an die Lesegeräte zu halten. Nach meiner...


Folgen Sie uns
       


VW ID.3 Probe gefahren

Wir sind einen Tag lang mit dem ID.3 in und um Berlin herum gefahren.

VW ID.3 Probe gefahren Video aufrufen
The Legend of Zelda: Das Vorbild für alle Action-Adventures
The Legend of Zelda
Das Vorbild für alle Action-Adventures

The Legend of Zelda von 1986 hat das Genre geprägt. Wir haben den 8-Bit-Klassiker erneut gespielt - und waren hin- und hergerissen.
Von Benedikt Plass-Fleßenkämper


    XPS 13 (9310) im Test: Dells Ultrabook ist besser denn je
    XPS 13 (9310) im Test
    Dells Ultrabook ist besser denn je

    Wir dachten ja, bis auf den Tiger-Lake-Chip habe Dell am XPS 13 nichts geändert. Doch es gibt einige willkommene Änderungen.
    Ein Test von Marc Sauter

    1. Dell-Ultrabook XPS 13 mit weniger vertikalen Pixeln
    2. Notebooks Dells XPS 13 mit Intels Tiger Lake kommt
    3. XPS 13 (9300) im Test Dells i-Tüpfelchen

    Surface Duo im Test: Microsoft, bitte bring ein Surface Duo 2!
    Surface Duo im Test
    Microsoft, bitte bring ein Surface Duo 2!

    Microsofts neuer Ausflug in die Smartphone-Welt ist gewagt - das Konzept stimmt aber. Nicht stimmig hingegen sind Software, Hardware und Preis.
    Ein Test von Tobias Költzsch

    1. Error 1016 Windows-Händler Lizengo ist online nicht mehr erreichbar
    2. Kubernetes Microsofts einfache Cloud-Laufzeitumgebung Dapr wird stabil
    3. Microsoft Surface Duo kostet in Deutschland ab 1.550 Euro

      •  /