VBB-Fahrcard: Der Fehler steckt im System

Verwirrende Aussagen, keine Lösungen, keine Information an die Betroffenen: Dass Bewegungsdaten auf VBB-Fahrcards beschrieben werden können, hat der Verkehrsverbund Berlin-Brandenburg bestritten, bis das Gegenteil bewiesen wurde. Ähnlich reagiert er auf weitere Erkenntnisse von Golem.de.

Artikel von veröffentlicht am
Vor allem Eindecker der BVG speichern Bewegungspunkte auf der VBB-Fahrcard.
Vor allem Eindecker der BVG speichern Bewegungspunkte auf der VBB-Fahrcard. (Bild: Andreas Sebayang/Golem.de)

Auf der elektronischen Fahrkarte werden keine Bewegungsdaten gespeichert, so versprach es der Verkehrsverbund Berlin-Brandenburg (VBB) in einer Werbebroschüre, die 2012 erschienen ist und noch bis vor kurzem verteilt wurde. Dass das zumindest für die Berliner Verkehrsgesellschaft BVG unwahr ist, wurde vor einigen Monaten aufgedeckt. Doch das Problem ist noch größer als gedacht: Wie Golem.de recherchiert hat, ist nicht nur die BVG involviert. Mindestens zwei weitere Mitglieder des Verkehrsverbundes haben Fahrgastdaten auf den elektronischen Fahrkarten gespeichert. Und das Problem gibt es nicht erst seit einigen Monaten, sondern seit Jahren.

Der eigentliche Skandal ist allerdings die Informationspolitik des VBB. Jahrelang wurden Kunden falsch informiert. Es wurde beteuert, es sei technisch unmöglich, Bewegungsprofile auf den Karten zu speichern. Auch die Antworten des VBB und einzelner Mitglieder des Verbundes auf unsere Anfragen sowie die öffentlichen Informationen sind widersprüchlich und verwirrend. Immerhin: Bald können die Daten aus dem E-Ticket gelöscht werden - das geht zwar auch jetzt schon, aber nicht ohne die Schere eines Kundenzentrums.

Wie die BVG beim Kartenmissbrauch erwischt wurde

Bekannt wurde die Speicherung von Bewegungsdaten auf elektronischen Fahrkarten nur, weil der Verkehrsverbund erwischt wurde. Heute ist klar: Der VDV-Standard für E-Tickets sah von Anfang an die Speicherung von Daten in ein sogenanntes Transaktionslogbuch vor - inklusive Bewegungsdaten. Dass die Karten dies prinzipiell können, bestätigte uns nun auch der VBB auf Nachfrage. Und auch Netzpolitik.org zitiert die BVG wie folgt: "Die BVG hat zwar beim Hersteller diese Funktion nicht beauftragt, jedoch hat dieser die in der (((e-Ticket-Deutschland-Spezifikation beschriebenen Funktionen spezifikationskonform in das Testsystem implementiert."

Dass die Speicherung tatsächlich möglich ist, fiel zunächst beim VBB-Mitglied BVG auf. Der Fahrgastverband IGEB veröffentlichte im Dezember 2015 seine Recherchen. Demnach speicherten Busse des Berliner Verkehrsunternehmens Bewegungspunkte, aus denen sich sehr einfach Bewegungsprofile erstellen lassen und die jedermann mit günstigem Equipment auslesen kann. Voraussetzung war nur die Kontrolle über ein Lesegerät in den Bussen. Die vermeintlichen Lesegeräte schrieben Positionsdaten beim Einstieg auf die Karte.

Stellenmarkt
  1. (Senior) Consultant / Manager Handelsregulatorik (m/w/d)
    targens GmbH, Frankfurt, München, Stuttgart
  2. Softwareentwickler (m/w/d)
    MLF Mercator-Leasing GmbH & Co. Finanz-KG, Schweinfurt
Detailsuche

Die Karten entsprachen zwar angeblich "höchsten Sicherheitsstandards", doch der VBB hatte die Kontrolle über den Schlüssel zum Lesen offenbar verloren. Warum der Leseschlüssel über eine App für jeden verfügbar ist, wollte uns der VBB nicht sagen. Die Mytraq-App ermöglicht jedenfalls ein einfaches Auslesen der von der BVG gespeicherten Daten mit vielen Smartphones. Die BVG sprach von einer Fehlfunktion, die wenige Tage nach Veröffentlichung durch den IGEB und diverse Lokalredaktionen beseitigt wurde. Die Lesegeräte der Busse wurden kurzerhand abgeschaltet.

Unsere eigenen Recherchen zeigten damals allerdings, dass das Problem schon viel länger als seit Dezember 2015 bestand, mindestens seit April 2015. Anfangs wurden Daten sogar anonym und ohne Berechtigungs-ID gespeichert. Mitte 2015 beseitigte die BVG das Berechtigungsproblem, wie wir herausfanden, und speicherte Positionsdaten mitsamt Berechtigungs-ID auf der VBB-Fahrcard. Insgesamt konnten wir so klar nachweisen, dass es technisch und organisatorisch sehr wohl möglich ist, die Daten für die Aufbereitung von Bewegungsprofilen zu nutzen. Zudem zeigten die Fehlerbehebungen an dem Schreibprozess, dass hier auch bekannt war, dass Daten geschrieben wurden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Wie viele Fahrgäste sind von dem Datenproblem der VBB-Fahrcard betroffen? 
  1. 1
  2. 2
  3. 3
  4. 4
  5.  


Proctrap 15. Feb 2016

Hello Troll

claudweb 12. Feb 2016

Habe es gestern ausprobiert, im RMV gibt es auch noch Busse die eine Kontrolle auf dem...

sradi 10. Feb 2016

Hallo, Wenn man die Daten so leicht auslesen kann. Ist es dann auch so einfach eine VBB...

Wechselgänger 10. Feb 2016

Aber das ist dann eben auch teurer. Und die BVG für schlechte Leistung oder...

Wechselgänger 10. Feb 2016

Es ist (bisher) nicht Pflicht, die Karte an die Lesegeräte zu halten. Nach meiner...



Aktuell auf der Startseite von Golem.de
Microsoft
Alle Teams-Nutzer können nun miteinander schreiben

Private Teams-Nutzer und Mitglieder von Organisationen konnten bisher nicht über Teams kommunizieren. Das ändert Microsoft nun.

Microsoft: Alle Teams-Nutzer können nun miteinander schreiben
Artikel
  1. Windschlüpfriges Elektroauto: Lightyear One fährt bei Kälte und 130 km/h noch 400 km weit
    Windschlüpfriges Elektroauto
    Lightyear One fährt bei Kälte und 130 km/h noch 400 km weit

    Das Elektroauto Lightyear One ist bei 10 Grad Celsius und 130 km/h getestet worden. Trotz des kleinen Akkus liegt die Reichweite bei 400 km.

  2. EU-Kommission: Von der Leyens intransparenter Umgang mit SMS
    EU-Kommission
    Von der Leyens intransparenter Umgang mit SMS

    Per SMS soll von der Leyen einen Milliardendeal mit Pfizer ausgehandelt haben. Doch die SMS will sie nicht herausgeben - obwohl sie müsste.

  3. Kryptowährung: Millionen US-Dollar über Lücke auf Kryptoplattform gestohlen
    Kryptowährung
    Millionen US-Dollar über Lücke auf Kryptoplattform gestohlen

    Hacker haben eine Sicherheitslücke auf der Finanzplattform Qubit ausgenutzt. Das Unternehmen bittet um Rückgabe der Kryptocoins gegen eine Belohnung.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Alternate (u.a. HP Omen 25i 165 Hz 184,90€) • MindStar (u.a. Patriot Viper VPN100 1 TB 99€) • HyperX Streamer Starter Set 67€ • WD BLACK P10 Game Drive 5 TB 111€ • Trust GXT 38 35,99€ • RTX 3080 12GB 1.499€ • PS5 Digital mit o2-Vertrag bestellbar • Prime-Filme für je 0,99€ leihen [Werbung]
    •  /