Abo
  • Services:
Anzeige
Vor allem Eindecker der BVG speichern Bewegungspunkte auf der VBB-Fahrcard.
Vor allem Eindecker der BVG speichern Bewegungspunkte auf der VBB-Fahrcard. (Bild: Andreas Sebayang/Golem.de)

VBB-Fahrcard: Der Fehler steckt im System

Vor allem Eindecker der BVG speichern Bewegungspunkte auf der VBB-Fahrcard.
Vor allem Eindecker der BVG speichern Bewegungspunkte auf der VBB-Fahrcard. (Bild: Andreas Sebayang/Golem.de)

Verwirrende Aussagen, keine Lösungen, keine Information an die Betroffenen: Dass Bewegungsdaten auf VBB-Fahrcards beschrieben werden können, hat der Verkehrsverbund Berlin-Brandenburg bestritten, bis das Gegenteil bewiesen wurde. Ähnlich reagiert er auf weitere Erkenntnisse von Golem.de.
Von Andreas Sebayang

Auf der elektronischen Fahrkarte werden keine Bewegungsdaten gespeichert, so versprach es der Verkehrsverbund Berlin-Brandenburg (VBB) in einer Werbebroschüre, die 2012 erschienen ist und noch bis vor kurzem verteilt wurde. Dass das zumindest für die Berliner Verkehrsgesellschaft BVG unwahr ist, wurde vor einigen Monaten aufgedeckt. Doch das Problem ist noch größer als gedacht: Wie Golem.de recherchiert hat, ist nicht nur die BVG involviert. Mindestens zwei weitere Mitglieder des Verkehrsverbundes haben Fahrgastdaten auf den elektronischen Fahrkarten gespeichert. Und das Problem gibt es nicht erst seit einigen Monaten, sondern seit Jahren.

Anzeige

Der eigentliche Skandal ist allerdings die Informationspolitik des VBB. Jahrelang wurden Kunden falsch informiert. Es wurde beteuert, es sei technisch unmöglich, Bewegungsprofile auf den Karten zu speichern. Auch die Antworten des VBB und einzelner Mitglieder des Verbundes auf unsere Anfragen sowie die öffentlichen Informationen sind widersprüchlich und verwirrend. Immerhin: Bald können die Daten aus dem E-Ticket gelöscht werden - das geht zwar auch jetzt schon, aber nicht ohne die Schere eines Kundenzentrums.

Wie die BVG beim Kartenmissbrauch erwischt wurde

Bekannt wurde die Speicherung von Bewegungsdaten auf elektronischen Fahrkarten nur, weil der Verkehrsverbund erwischt wurde. Heute ist klar: Der VDV-Standard für E-Tickets sah von Anfang an die Speicherung von Daten in ein sogenanntes Transaktionslogbuch vor - inklusive Bewegungsdaten. Dass die Karten dies prinzipiell können, bestätigte uns nun auch der VBB auf Nachfrage. Und auch Netzpolitik.org zitiert die BVG wie folgt: "Die BVG hat zwar beim Hersteller diese Funktion nicht beauftragt, jedoch hat dieser die in der (((e-Ticket-Deutschland-Spezifikation beschriebenen Funktionen spezifikationskonform in das Testsystem implementiert."

Dass die Speicherung tatsächlich möglich ist, fiel zunächst beim VBB-Mitglied BVG auf. Der Fahrgastverband IGEB veröffentlichte im Dezember 2015 seine Recherchen. Demnach speicherten Busse des Berliner Verkehrsunternehmens Bewegungspunkte, aus denen sich sehr einfach Bewegungsprofile erstellen lassen und die jedermann mit günstigem Equipment auslesen kann. Voraussetzung war nur die Kontrolle über ein Lesegerät in den Bussen. Die vermeintlichen Lesegeräte schrieben Positionsdaten beim Einstieg auf die Karte.

Die Karten entsprachen zwar angeblich "höchsten Sicherheitsstandards", doch der VBB hatte die Kontrolle über den Schlüssel zum Lesen offenbar verloren. Warum der Leseschlüssel über eine App für jeden verfügbar ist, wollte uns der VBB nicht sagen. Die Mytraq-App ermöglicht jedenfalls ein einfaches Auslesen der von der BVG gespeicherten Daten mit vielen Smartphones. Die BVG sprach von einer Fehlfunktion, die wenige Tage nach Veröffentlichung durch den IGEB und diverse Lokalredaktionen beseitigt wurde. Die Lesegeräte der Busse wurden kurzerhand abgeschaltet.

Unsere eigenen Recherchen zeigten damals allerdings, dass das Problem schon viel länger als seit Dezember 2015 bestand, mindestens seit April 2015. Anfangs wurden Daten sogar anonym und ohne Berechtigungs-ID gespeichert. Mitte 2015 beseitigte die BVG das Berechtigungsproblem, wie wir herausfanden, und speicherte Positionsdaten mitsamt Berechtigungs-ID auf der VBB-Fahrcard. Insgesamt konnten wir so klar nachweisen, dass es technisch und organisatorisch sehr wohl möglich ist, die Daten für die Aufbereitung von Bewegungsprofilen zu nutzen. Zudem zeigten die Fehlerbehebungen an dem Schreibprozess, dass hier auch bekannt war, dass Daten geschrieben wurden.

Wie viele Fahrgäste sind von dem Datenproblem der VBB-Fahrcard betroffen? 

eye home zur Startseite
Proctrap 15. Feb 2016

Hello Troll

claudweb 12. Feb 2016

Habe es gestern ausprobiert, im RMV gibt es auch noch Busse die eine Kontrolle auf dem...

sradi 10. Feb 2016

Hallo, Wenn man die Daten so leicht auslesen kann. Ist es dann auch so einfach eine VBB...

Wechselgänger 10. Feb 2016

Aber das ist dann eben auch teurer. Und die BVG für schlechte Leistung oder...

Wechselgänger 10. Feb 2016

Es ist (bisher) nicht Pflicht, die Karte an die Lesegeräte zu halten. Nach meiner...



Anzeige

Stellenmarkt
  1. Suzuki Deutschland GmbH, Bensheim
  2. BSH Hausgeräte GmbH, Traunreut
  3. Novotechnik Messwertaufnehmer OHG, Ostfildern
  4. SSI Schäfer IT Solutions GmbH, Giebelstadt, Dortmund, Walldorf


Anzeige
Blu-ray-Angebote
  1. (u. a. The Revenant 7,97€, James Bond Spectre 7,97€, Der Marsianer 7,97€)
  2. 39,99€ (Vorbesteller-Preisgarantie)
  3. 24,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Continental

    All Charge macht Elektroautos kompatibel für alle Ladesäulen

  2. Rime

    Entwickler kündigen Entfernung von Denuvo nach Crack an

  3. Inspiron Gaming Desktop

    Dell steckt AMDs Ryzen in Komplett-PC

  4. Bluetooth-Wandschalter

    Enocean steuert das Licht mit Energy Harvesting

  5. Skylake-X

    Intel kontert mit Core i9 und 18 Kernen

  6. Mobile-Games-Auslese

    Weltraumkartoffel und Bilderbuchwanderung für mobile Spieler

  7. Experten fordern Grenzen

    Smartphones können Kinder krank machen

  8. Wifi4EU

    EU will kostenlose WLAN-Hotspots fördern

  9. In eigener Sache

    Studentenrabatt für die große Quantenkonferenz von Golem.de

  10. Obsoleszenz

    Apple repariert zahlreiche Macbooks ab Mitte 2017 nicht mehr



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Razer Core im Test: Grafikbox + Ultrabook = Gaming-System
Razer Core im Test
Grafikbox + Ultrabook = Gaming-System
  1. Gaming-Notebook Razer will das Blade per GTX 1070 aufrüsten
  2. Razer Lancehead Symmetrische 16.000-dpi-Maus läuft ohne Cloud-Zwang
  3. 17,3-Zoll-Notebook Razer aktualisiert das Blade Pro mit THX-Zertifizierung

Matebook X und E im Hands on: Huawei kann auch Notebooks
Matebook X und E im Hands on
Huawei kann auch Notebooks
  1. Matebook X Huawei stellt erstes Notebook vor
  2. Trotz eigener Geräte Huawei-Chef sieht keinen Sinn in Smartwatches
  3. Huawei Matebook Erste Infos zu kommenden Huawei-Notebooks aufgetaucht

Debatte nach Wanna Cry: Sicherheitslücken veröffentlichen oder zurückhacken?
Debatte nach Wanna Cry
Sicherheitslücken veröffentlichen oder zurückhacken?
  1. Android-Apps Rechtemissbrauch ermöglicht unsichtbare Tastaturmitschnitte
  2. Sicherheitslücke Fehlerhaft konfiguriertes Git-Verzeichnis bei Redcoon
  3. Hotelketten Buchungssystem Sabre kompromittiert Zahlungsdaten

  1. Re: Unzureichender Artikel

    elf | 11:24

  2. Re: Bin für 10 Jahre

    Sharra | 11:23

  3. Re: Danke AMD!

    hiDDen | 11:22

  4. Re: Kann ich vollkommen bestätigen!

    AllDayPiano | 11:21

  5. Re: "Hass im Netz" klingt nach Zensur für mich

    bombinho | 11:20


  1. 11:34

  2. 10:23

  3. 10:08

  4. 10:01

  5. 09:42

  6. 09:25

  7. 09:08

  8. 08:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel