VBB-Fahrcard: Der Fehler steckt im System
Auf der elektronischen Fahrkarte werden keine Bewegungsdaten gespeichert, so versprach es der Verkehrsverbund Berlin-Brandenburg (VBB) in einer Werbebroschüre, die 2012 erschienen ist und noch bis vor kurzem verteilt wurde. Dass das zumindest für die Berliner Verkehrsgesellschaft BVG unwahr ist, wurde vor einigen Monaten aufgedeckt. Doch das Problem ist noch größer als gedacht: Wie Golem.de recherchiert hat, ist nicht nur die BVG involviert. Mindestens zwei weitere Mitglieder des Verkehrsverbundes haben Fahrgastdaten auf den elektronischen Fahrkarten gespeichert. Und das Problem gibt es nicht erst seit einigen Monaten, sondern seit Jahren.
Der eigentliche Skandal ist allerdings die Informationspolitik des VBB. Jahrelang wurden Kunden falsch informiert. Es wurde beteuert, es sei technisch unmöglich, Bewegungsprofile auf den Karten zu speichern. Auch die Antworten des VBB und einzelner Mitglieder des Verbundes auf unsere Anfragen sowie die öffentlichen Informationen sind widersprüchlich und verwirrend. Immerhin: Bald können die Daten aus dem E-Ticket gelöscht werden - das geht zwar auch jetzt schon, aber nicht ohne die Schere eines Kundenzentrums.
Wie die BVG beim Kartenmissbrauch erwischt wurde
Bekannt wurde die Speicherung von Bewegungsdaten auf elektronischen Fahrkarten nur, weil der Verkehrsverbund erwischt wurde. Heute ist klar: Der VDV-Standard für E-Tickets(öffnet im neuen Fenster) sah von Anfang an die Speicherung von Daten in ein sogenanntes Transaktionslogbuch vor - inklusive Bewegungsdaten. Dass die Karten dies prinzipiell können, bestätigte uns nun auch der VBB auf Nachfrage. Und auch Netzpolitik.org zitiert(öffnet im neuen Fenster) die BVG wie folgt: "Die BVG hat zwar beim Hersteller diese Funktion nicht beauftragt, jedoch hat dieser die in der (((e-Ticket-Deutschland-Spezifikation beschriebenen Funktionen spezifikationskonform in das Testsystem implementiert."
Dass die Speicherung tatsächlich möglich ist, fiel zunächst beim VBB-Mitglied BVG auf. Der Fahrgastverband IGEB veröffentlichte im Dezember 2015 seine Recherchen . Demnach speicherten Busse des Berliner Verkehrsunternehmens Bewegungspunkte, aus denen sich sehr einfach Bewegungsprofile erstellen lassen und die jedermann mit günstigem Equipment auslesen kann. Voraussetzung war nur die Kontrolle über ein Lesegerät in den Bussen. Die vermeintlichen Lesegeräte schrieben Positionsdaten beim Einstieg auf die Karte.
Die Karten entsprachen zwar angeblich "höchsten Sicherheitsstandards" , doch der VBB hatte die Kontrolle über den Schlüssel zum Lesen offenbar verloren. Warum der Leseschlüssel über eine App für jeden verfügbar ist, wollte uns der VBB nicht sagen. Die Mytraq-App ermöglicht jedenfalls ein einfaches Auslesen der von der BVG gespeicherten Daten mit vielen Smartphones. Die BVG sprach von einer Fehlfunktion, die wenige Tage nach Veröffentlichung durch den IGEB und diverse Lokalredaktionen beseitigt wurde. Die Lesegeräte der Busse wurden kurzerhand abgeschaltet.
Unsere eigenen Recherchen zeigten damals allerdings, dass das Problem schon viel länger als seit Dezember 2015 bestand, mindestens seit April 2015 . Anfangs wurden Daten sogar anonym und ohne Berechtigungs-ID gespeichert. Mitte 2015 beseitigte die BVG das Berechtigungsproblem, wie wir herausfanden, und speicherte Positionsdaten mitsamt Berechtigungs-ID auf der VBB-Fahrcard. Insgesamt konnten wir so klar nachweisen, dass es technisch und organisatorisch sehr wohl möglich ist, die Daten für die Aufbereitung von Bewegungsprofilen zu nutzen. Zudem zeigten die Fehlerbehebungen an dem Schreibprozess, dass hier auch bekannt war, dass Daten geschrieben wurden.
Wie viele Fahrgäste sind von dem Datenproblem der VBB-Fahrcard betroffen?
Die halbwegs gute Nachricht: Es ist nicht möglich, mehr als zehn Bewegungspunkte auf der Karte zu speichern. Das bestätigte uns der VBB. Das reicht allerdings, um den Arbeitsweg eines Fahrgastes mit dem Umweg über eine Kita für rund zwei Tage zu speichern. Hat der Lebenspartner das Kind auch wie gewünscht zur richtigen Uhrzeit abgeholt? Dank der BVG-Speichersysteme war es jedem möglich, das zu kontrollieren, der Zugang zur Fahrcard hatte.
Wie viele Kunden tatsächlich Bewegungspunkte auf ihren Karten haben, ist schwer einzuschätzen. Nicht viele nutzen die Lesegeräte in den Bussen, es gibt noch keine Pflicht zur Nutzung bei der BVG. Einige Testläufe gab es allerdings, wie vor etwa einem Jahr. Wir waren zufällig dabei, als ein BVG-Mitarbeiter alle Fahrcard-Nutzer einer Flughafen-Buslinie dazu bewegte, ihre Fahrcards an die Lesegeräte zu halten. Auch ist unklar, wie lange genau die BVG die Karte für das Speichern von Bewegungspunkten verwendet hat und wie viele weitere VBB-Mitglieder betroffen waren. Wahrscheinlich ist aber, dass Tausende Kunden betroffen sind.
Denn unsere Recherchen deuten darauf hin, dass das Problem seit Jahren und mindestens bei drei Verbundmitgliedern besteht: Auch die Oberhavel Verkehrsgesellschaft (OVG) und die Ostdeutsche Eisenbahn (ODEG) nutzten das E-Ticket nicht so, wie es vorgegeben wurde.
Auch andere VBB-Mitglieder speicherten Daten
Bei der Kontrolle der Fahrkarten beschrieben mindestens zwei weitere Mitglieder des VBB die Karten mit Daten. Bei der OVG handelte es sich dabei wie bei der BVG um Bewegungspunkte. Es gab einige Hinweise in Blogs und Foren darauf, dass die OVG(öffnet im neuen Fenster) ebenfalls speicherte, was der VBB uns dann in einer Stellungnahme bestätigte. In Ermangelung einer durch OVG-Busse beschriebenen Karte können wir allerdings nichts davon unabhängig verifizieren. Auch wie die Daten exakt aussehen, wissen wir nicht. Die im Vergleich zur BVG sehr kleine OVG hat laut VBB die Lesegeräte ebenfalls abgeschaltet, so dass weitere Recherchen nicht möglich sind.
Auf Hinweis eines Lesers konnten wir auch nachweisen, dass die ODEG zumindest vor zweieinhalb Jahren Daten auf der Karte gespeichert hat. Die ersten Einträge auf der Karte des Lesers, der regelmäßig mit ODEG-Regionalbahnen nach Berlin fährt, waren von August 2013 - nur acht Monate, nachdem das System als final freigegeben worden war. Die Karte zeigte volle zehn ODEG-Einträge. Es handelt sich allerdings nicht um Bewegungspunkte, sondern um Fehlerdaten, die nicht hätten geschrieben werden dürfen, wie uns die ODEG mitteilte. Was das genau bedeutet, sagte uns die ODEG nicht. Die Beispieldaten, die wir haben, lassen keinen Rückschluss auf die Verwendung zu. Das Feld für Positionsdaten sieht jedenfalls nicht nach einem Positionspunkt aus. Interessanterweise waren die Datensätze mit einer Berechtigungs-ID versehen, die der S-Bahn Berlin GmbH gehört. Ob schon früher als im August 2013 Daten gespeichert wurden, wissen wir nicht, da die letzten Einträge immer mit neuen überschrieben werden.
Die Probleme sind dem VBB schon lange bekannt
Dass die Fahrcards fehlerhaft beschrieben wurden, war der ODEG bereits 2013 bekannt, wie sie uns mitteilte. Noch im selben Jahr besprach sie demnach das Problem mit dem VBB. Zu diesem Zeitpunkt war also auch dem VBB klar: Die Karten sind beschreibbar - und vor allem kann alles Mögliche daraufgeschrieben werden. Die vorgesehenen Felder müssen nicht zwangsläufig mit Positionsdaten beschrieben werden. Es könnte im Prinzip alles gespeichert werden, es ist nur eine Frage der rechtzeitigen Erhebung der Daten. Trotzdem kommunizierte der VBB weiter an die Kunden, es sei technisch nicht möglich, etwa Bewegungsdaten auf den Karten zu speichern.
Genau vor dieser Gefahr warnte der Fahrgastverband IGEB noch im selben Jahr: Der VBB konterte damals aber nur, der IGEB habe nicht die technische Kompetenz, um die Gefahren zu beurteilen und entledigte sich so des Themas. Damals konnte der IGEB das Problem noch nicht beweisen, denn die Daten waren sicher vor fremdem Zugriff auf dem Chip geschützt. Dieser Schutz ist aber dank der Mytraq-App nun dem VBB verloren gegangen.
Ohne Informationen für die Öffentlichkeit wurde noch 2013 die Schreibfähigkeit seitens der ODEG hart abgeschaltet, wie anhand eines Transaktionslogs auch nachvollziehbar ist. Die Nutzung der Berechtigungs-ID kann die ODEG nicht erklären. Der VBB hat der ODEG auch keine ID zugewiesen. Das wundert uns, denn laut ODEG ist der VBB für die "Projektkoordination und technische Prüfung" zuständig. In solchen Systemen ist die Zuordnung von Berechtigungen schon aus Gründen der Fehlerursachensuche notwendig. Allerdings hat auch die BVG monatelang anonym ohne Berechtigungs-ID Karten beschrieben. Dass das überhaupt geht, ist eine Schwäche des Systems. Und die besteht bis heute.
Wer kann das Transaktionslog der Fahrcard auslesen?
Die Karten wurden "gemäß [der] Spezifikation der VDV-Kernapplikation auf den Markt gebracht" , wie der VBB mitteilt, und das heißt: Zehn Einträge sind immer im Transaktionslog möglich. Doch wer kann die auslesen? Beim VBB heißt es dazu: "Ein eingeschränktes Bewegungsprofil kann somit nur durch den Besitzer der VBB-fahrCard aus maximal zehn Kontrolldatensätzen abgeleitet werden, sofern diese durch ein fehlerhaftes Terminal auf die VBB-fahrCard geschrieben wurden." Weiter heißt es, "Bewegungsprofile können nur erstellt werden, wenn personenbezogene Daten mit Bewegungsdaten zusammengebracht werden" .
Die VBB-Fahrcard sieht allerdings bereits von Anfang an vor, bei personengebundenen Tickets auch den Namen im Chip zu speichern. Wir konnten bereits in mehreren Fällen nachweisen, dass es möglich ist, Bewegungsprofile nachzuverfolgen, wenn man Zugang zu einer Fahrcard hat - auch ohne deren Besitzer zu sein. Uns fehlte allerdings ein namentlich gebundenes Ticket mit Positionsdaten. Im Bekanntenkreis ist die Erhebung von personengebundenen Daten aber kein Problem. Hier verkennt der VBB das Problem.
Was bei uns mehreren Kollegen dank der Mytraq-App und eines NFC-Android-Smartphones gelang, soll für den VBB selbst aber unmöglich sein: "Es ist ausdrücklich nicht vorgesehen, dass die Kontrollgeräte der Verkehrsunternehmen dieses Logbuch auslesen." Praktisch bedeutet das, dass Verkehrsunternehmen die Daten nicht auslesen können, wenn sie kein Android verwenden. Sie dürfen also nicht auf Android als Kontrollplattform setzen, auch wenn das finanziell vielleicht reizvoll ist und die App sogar Verkehrsunternehmen als professionelle Lösung angeboten wird. Ob sich alle VBB-Mitglieder an diese Sperre halten, sei allerdings dahingestellt.
Ein gültiges Papierticket funktioniert besser
Denn das gesamte System wird nur lückenhaft kontrolliert. Der VBB versicherte uns beispielsweise, dass er für alle Verkehrsunternehmen in Brandenburg verantwortlich sei, was die Prüfung der Software angeht. Die BVG hingegen ist selbst für das Testen der Software verantwortlich. Und sie hat auch seit Jahren die meisten Probleme damit. Das geht so weit, dass BVG-E-Tickets fürs Umland nicht ausgestellt werden. Die Lesegeräte der anderen VBB-Mitglieder erkennen die Fahrtberechtigung nicht immer. Da der Besitzer eines E-Tickets prinzipbedingt weniger Rechte hat als der eines Papiertickets, bedeutet dies beispielsweise für eine BVG-Karte mit Landkreis-Abo, dass der Fahrgast aussteigen muss oder ihm das Ticket rechtmäßig sogar abgenommen wird, obwohl er ein gültiges Ticket hat. Er kann es nur nicht beweisen.
Beim Papierticket ist der Beweis einer Fahrberechtigung hingegen trivial: Sie lässt sich mit dem menschlichen Auge ablesen. Zudem werden auf den Abotickets keine Bewegungspunkte gespeichert. Der VBB behauptete, die Transaktionslogeinträge der Abo-E-Tickets seien vergleichbar mit den alten Stempeln - übersah allerdings in seiner ersten Stellungnahme(öffnet im neuen Fenster) , dass Papier-Monatskarten gar nicht gestempelt werden.
Daten können bald von der VBB-Fahrcard gelöscht werden
Im Moment ist das Löschen der Fahrcard-Daten nur mit der Schere möglich, wie wir im Selbstversuch herausgefunden haben: Als wir um die Löschung unserer Daten ersuchten, reichte uns der Kundenservice in der BVG-Zentrale eine Schere und stattete uns mit einem Papierticket aus. Eine zerschnittene Fahrcard lässt nämlich das Auslesen der Bewegungspunkte nicht ohne erheblichen Aufwand zu. Für Anfang Februar 2016 hat der VBB eigentlich zugesichert, dass die Fahrcard-Logeinträge vom Kunden gelöscht werden können. Jedoch nicht mit seinem Smartphone. Zwar ist der Schlüssel zum Auslesen der Karte faktisch für alle frei verfügbar. Doch Schreiboperationen - und dazu gehört das Löschen - gibt es nicht.
Sollte der Kunde seine Bewegungsdaten löschen wollen, muss er dafür in ein ausgewähltes Kundenzentrum gehen. Bisher haben wir allerdings keine Informationen, welche Kundenzentren welches Verkehrsunternehmens die Löschung anbieten werden und wie diese aussieht. Laut BVG wird "relativ zeitnah" , noch im Februar, die Löschung angeboten.
Die BVG sagt lieber nichts
Die BVG selbst kommuniziert ihre Pläne nicht an die Kunden. Pressemitteilungen der BVG fehlen, Kunden wurden unseres Wissens nicht angeschrieben. In Gesprächen mit Mitarbeitern an Hotlines und auch im Kundenzentrum stellte sich zudem heraus, dass es zur Fahrcard auch keine Schulung über die neue Problematik gab. Über die BVG-Kampagne verbreitete die BVG sogar, dass ein Fehler des Herstellers der Karten schuld sei(öffnet im neuen Fenster) . Der Morgenpost sagte die BVG auf Nachfrage, dass der Hersteller der Lesegeräte verantwortlich sei. Das steht im Widerspruch zu der Verantwortung der BVG, die Software selbst zu testen. Outsourcing entbindet jedenfalls nicht von der Verantwortung.
Die BVG als Hauptverursacher hat zudem nicht einmal die FAQ zur Fahrcard(öffnet im neuen Fenster) überarbeitet und behauptet dort weiterhin, dass die BVG-Terminals alle Fahrcard-Daten anzeigen könnten, Fahrtenprofile technisch und organisatorisch unmöglich seien und dass "die Daten auf dem Chip [...] nur für das Kontrollpersonal sowie Mitarbeiter im Vertrieb der Verkehrsunternehmen mit speziellen Lesegeräten lesbar" seien. Diese Information war schon zum Start der Fahrcard falsch.
Mit anderen Worten: Wer auf die Informationen der BVG vertraut, der weiß von nichts und wird somit seine Bewegungsdaten auch nicht löschen. Zugegebenermaßen dürfte die Relevanz der Kartendaten im Laufe der Zeit sinken. Trotzdem ist es für neugierige Naturen interessant, was der Lebenspartner, das Kind oder der Bekannte so mit seiner Fahrcard gemacht hat.
Der VBB hat neues Marketingmaterial
Der VBB ist da schon weiter. Er widerspricht im mittlerweile aktualisierten Marketingmaterial, gültig ab dem 1. Januar 2016, den eigentlich aktuellen BVG-Behauptungen. Der PDF-Flyer mit Gültigkeit ab dem 1. Januar 2016(öffnet im neuen Fenster) (zum Vergleich: der PDF-Flyer aus dem Jahr 2012(öffnet im neuen Fenster) ) behauptet im Prinzip aber weiter, dass Verkehrsunternehmen keine Bewegungsprofile erstellen können, obwohl die Infrastruktur sehr wohl dazu in der Lage ist. Die Formulierungen sind nur schwammiger. Es braucht also auch in Zukunft nur eines von 43(öffnet im neuen Fenster) Verkehrsunternehmen, das erneut gegen die Regeln verstößt, oder - wenn man es wie die BVG macht -, einen Zulieferer, der die Regeln ohne Kontrolle bricht. Alles, was dann noch fehlt, ist ein Privatkontrolleur, der auf Android setzt statt auf die speziellen Lesegeräte. Ohne Sperrung aller Alt-Fahrcards und Neuherausgabe lässt sich das Problem grundsätzlich nicht beheben, denn davon haben genug sehr wohl Bewegungsprofile gespeichert, die jeder auslesen kann.