Abo
  • Services:
Anzeige
Vor allem Eindecker der BVG speichern Bewegungspunkte auf der VBB-Fahrcard.
Vor allem Eindecker der BVG speichern Bewegungspunkte auf der VBB-Fahrcard. (Bild: Andreas Sebayang/Golem.de)

Wie viele Fahrgäste sind von dem Datenproblem der VBB-Fahrcard betroffen?

Die halbwegs gute Nachricht: Es ist nicht möglich, mehr als zehn Bewegungspunkte auf der Karte zu speichern. Das bestätigte uns der VBB. Das reicht allerdings, um den Arbeitsweg eines Fahrgastes mit dem Umweg über eine Kita für rund zwei Tage zu speichern. Hat der Lebenspartner das Kind auch wie gewünscht zur richtigen Uhrzeit abgeholt? Dank der BVG-Speichersysteme war es jedem möglich, das zu kontrollieren, der Zugang zur Fahrcard hatte.

Anzeige

Wie viele Kunden tatsächlich Bewegungspunkte auf ihren Karten haben, ist schwer einzuschätzen. Nicht viele nutzen die Lesegeräte in den Bussen, es gibt noch keine Pflicht zur Nutzung bei der BVG. Einige Testläufe gab es allerdings, wie vor etwa einem Jahr. Wir waren zufällig dabei, als ein BVG-Mitarbeiter alle Fahrcard-Nutzer einer Flughafen-Buslinie dazu bewegte, ihre Fahrcards an die Lesegeräte zu halten. Auch ist unklar, wie lange genau die BVG die Karte für das Speichern von Bewegungspunkten verwendet hat und wie viele weitere VBB-Mitglieder betroffen waren. Wahrscheinlich ist aber, dass Tausende Kunden betroffen sind.

Denn unsere Recherchen deuten darauf hin, dass das Problem seit Jahren und mindestens bei drei Verbundmitgliedern besteht: Auch die Oberhavel Verkehrsgesellschaft (OVG) und die Ostdeutsche Eisenbahn (ODEG) nutzten das E-Ticket nicht so, wie es vorgegeben wurde.

Auch andere VBB-Mitglieder speicherten Daten

Bei der Kontrolle der Fahrkarten beschrieben mindestens zwei weitere Mitglieder des VBB die Karten mit Daten. Bei der OVG handelte es sich dabei wie bei der BVG um Bewegungspunkte. Es gab einige Hinweise in Blogs und Foren darauf, dass die OVG ebenfalls speicherte, was der VBB uns dann in einer Stellungnahme bestätigte. In Ermangelung einer durch OVG-Busse beschriebenen Karte können wir allerdings nichts davon unabhängig verifizieren. Auch wie die Daten exakt aussehen, wissen wir nicht. Die im Vergleich zur BVG sehr kleine OVG hat laut VBB die Lesegeräte ebenfalls abgeschaltet, so dass weitere Recherchen nicht möglich sind.

Auf Hinweis eines Lesers konnten wir auch nachweisen, dass die ODEG zumindest vor zweieinhalb Jahren Daten auf der Karte gespeichert hat. Die ersten Einträge auf der Karte des Lesers, der regelmäßig mit ODEG-Regionalbahnen nach Berlin fährt, waren von August 2013 - nur acht Monate, nachdem das System als final freigegeben worden war. Die Karte zeigte volle zehn ODEG-Einträge. Es handelt sich allerdings nicht um Bewegungspunkte, sondern um Fehlerdaten, die nicht hätten geschrieben werden dürfen, wie uns die ODEG mitteilte. Was das genau bedeutet, sagte uns die ODEG nicht. Die Beispieldaten, die wir haben, lassen keinen Rückschluss auf die Verwendung zu. Das Feld für Positionsdaten sieht jedenfalls nicht nach einem Positionspunkt aus. Interessanterweise waren die Datensätze mit einer Berechtigungs-ID versehen, die der S-Bahn Berlin GmbH gehört. Ob schon früher als im August 2013 Daten gespeichert wurden, wissen wir nicht, da die letzten Einträge immer mit neuen überschrieben werden.

Die Probleme sind dem VBB schon lange bekannt

Dass die Fahrcards fehlerhaft beschrieben wurden, war der ODEG bereits 2013 bekannt, wie sie uns mitteilte. Noch im selben Jahr besprach sie demnach das Problem mit dem VBB. Zu diesem Zeitpunkt war also auch dem VBB klar: Die Karten sind beschreibbar - und vor allem kann alles Mögliche daraufgeschrieben werden. Die vorgesehenen Felder müssen nicht zwangsläufig mit Positionsdaten beschrieben werden. Es könnte im Prinzip alles gespeichert werden, es ist nur eine Frage der rechtzeitigen Erhebung der Daten. Trotzdem kommunizierte der VBB weiter an die Kunden, es sei technisch nicht möglich, etwa Bewegungsdaten auf den Karten zu speichern.

Genau vor dieser Gefahr warnte der Fahrgastverband IGEB noch im selben Jahr: Der VBB konterte damals aber nur, der IGEB habe nicht die technische Kompetenz, um die Gefahren zu beurteilen und entledigte sich so des Themas. Damals konnte der IGEB das Problem noch nicht beweisen, denn die Daten waren sicher vor fremdem Zugriff auf dem Chip geschützt. Dieser Schutz ist aber dank der Mytraq-App nun dem VBB verloren gegangen.

Ohne Informationen für die Öffentlichkeit wurde noch 2013 die Schreibfähigkeit seitens der ODEG hart abgeschaltet, wie anhand eines Transaktionslogs auch nachvollziehbar ist. Die Nutzung der Berechtigungs-ID kann die ODEG nicht erklären. Der VBB hat der ODEG auch keine ID zugewiesen. Das wundert uns, denn laut ODEG ist der VBB für die "Projektkoordination und technische Prüfung" zuständig. In solchen Systemen ist die Zuordnung von Berechtigungen schon aus Gründen der Fehlerursachensuche notwendig. Allerdings hat auch die BVG monatelang anonym ohne Berechtigungs-ID Karten beschrieben. Dass das überhaupt geht, ist eine Schwäche des Systems. Und die besteht bis heute.

 VBB-Fahrcard: Der Fehler steckt im SystemWer kann das Transaktionslog der Fahrcard auslesen? 

eye home zur Startseite
Proctrap 15. Feb 2016

Hello Troll

claudweb 12. Feb 2016

Habe es gestern ausprobiert, im RMV gibt es auch noch Busse die eine Kontrolle auf dem...

sradi 10. Feb 2016

Hallo, Wenn man die Daten so leicht auslesen kann. Ist es dann auch so einfach eine VBB...

Wechselgänger 10. Feb 2016

Aber das ist dann eben auch teurer. Und die BVG für schlechte Leistung oder...

Wechselgänger 10. Feb 2016

Es ist (bisher) nicht Pflicht, die Karte an die Lesegeräte zu halten. Nach meiner...



Anzeige

Stellenmarkt
  1. Consultix GmbH, Bremen
  2. Robert Bosch Start-up GmbH, Renningen
  3. Qioptiq Photonics GmbH & Co. KG, Feldkirchen
  4. Continental AG, München


Anzeige
Spiele-Angebote
  1. 9,99€
  2. 19,49€
  3. 8,99€

Folgen Sie uns
       


  1. Mototok

    Elektroschlepper rangieren BA-Flugzeuge

  2. MacOS High Sierra

    MacOS-Keychain kann per App ausgelesen werden

  3. Sendersuchlauf

    Unitymedia erstattet Kunden die Kosten für Fernsehtechniker

  4. Spielebranche

    US-Synchronsprecher bekommen mehr Geld und Transparenz

  5. Ignite 2017

    Microsoft 365 kommt auch für Schüler und Fabrikarbeiter

  6. Lego Boost im Test

    Jede Menge Bastelspaß für eine kleine Zielgruppe

  7. Platooning

    Daimler fährt in den USA mit Lkw im autonomen Konvoi

  8. Suchmaschine

    Apple stellt Siri auf Google um

  9. Gruppenchat

    Skype for Business wird durch Microsoft Teams ersetzt

  10. Teardown

    iFixit findet größeren Akku in Apple Watch Series 3



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Unterwegs auf der Babymesse: "Eltern vibrieren nicht"
Unterwegs auf der Babymesse
"Eltern vibrieren nicht"
  1. Optimierungsprogramm Ccleaner-Malware sollte wohl Techkonzerne ausspionieren
  2. Messenger Wire-Server steht komplett unter Open-Source-Lizenz
  3. Apache Struts Monate alte Sicherheitslücke führte zu Equifax-Hack

E-Paper-Tablet im Test: Mit Remarkable machen digitale Notizen Spaß
E-Paper-Tablet im Test
Mit Remarkable machen digitale Notizen Spaß
  1. Smartphone Yotaphone 3 kommt mit großem E-Paper-Display
  2. Display E-Ink-Hülle für das iPhone 7

Watson: IBMs Supercomputer stellt sich dumm an
Watson
IBMs Supercomputer stellt sich dumm an
  1. IBM Watson soll auf KI-Markt verdrängt werden
  2. KI von IBM Watson optimiert Prozesse und schließt Sicherheitslücken

  1. Re: Yubico sollte erstmal seine Manuals korrigieren

    Hawk321 | 11:09

  2. Re: Mit der FDP zur Glasfaseranschlusspflicht

    RipClaw | 11:08

  3. Re: Das ist schon heftig.

    ticaal | 11:08

  4. Re: "quetscht sich ein auto in die kolonne..."

    Rax | 11:08

  5. Re: 67W im Idle - Aua

    ArcherV | 11:01


  1. 11:28

  2. 11:00

  3. 10:45

  4. 10:39

  5. 10:30

  6. 09:44

  7. 09:11

  8. 08:57


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel