Der Web-Browser der surfenden Reisenden verrät durch eine seit dem Start der ICE-WLANs bestehende Sicherheitslücke diverse Informationen wie Zugnummer, Wagenklasse und genauen Standort an beliebige besuchte Internetseiten. [0] Zusätzlich werden die Einbuchungsdauer, der Datenverbrauch und die weltweit eindeutige MAC-Adresse des WLAN-Adapters übertragen, wodurch sich Hardwaregeräte wie Laptops, Mobiltelefone oder Tablets eindeutig identifizieren lassen – selbst bei eventuell eingeschaltetem VPN-Dienst. Dabei ist der Einsatz von in Browser integrierten Abwehrmechanismen gegen genau dieses Verhalten bereits seit Jahren gängige Praxis in der Webentwicklung. Es handelt sich also um ein trivial zu vermeidendes Problem.

Trotz anderslautender Stellungnahmen der Deutschen Bahn gegenüber der Presse [1], ist die Sicherheitslücke bisher nicht geschlossen worden: Ähnlich wie nach der ersten CCC-Analyse aus dem letzten Jahr [3] wurde eine Sofortkorrektur eingespielt. Als Resultat dieser beiden „Hotfixes“ wurden viele der kritischen Datenfelder über das untersuchte JSONP-Interface nicht mehr ausgeliefert. Jedoch wurde im Rahmen einer weiteren Überarbeitung seit dem letzten Jahr einerseits der erste Hotfix praktisch wieder zurückgerollt und zudem eine weitere – noch einfachere – Schnittstelle allen Webseiten geöffnet, die nun dieselben Daten bequem per AJAX-Zugriff abrufen können. [2]

Icomera gab – im Gegensatz zum Auftraggeber Deutsche Bahn – am 18. Juli an, dass gar kein Sicherheitsproblem bestehe. [4] Wörtlich heißt es in der Icomera-Stellungnahme:

„Following a thorough assessment of the hacker/passenger’s claims we have determined that there was no vulnerability. The hacker/passenger’s experience corresponds with behaviours expected from our system and the only data that was exposed was their own MAC address and basic identifiers and statistics of the Icomera hardware they were connected to.“ (Hervorhebung im Original)

Demnach hätte eine „sorgfältige Bewertung“ ergeben, dass es „keine Schwachstelle“ gäbe. Vielmehr sei das beschriebene Verhalten zu erwarten. Nur die eigene MAC-Adresse sowie einfache Identifikatoren und statistische Angaben würden exponiert. Diese Diskrepanz in den Stellungnahmen zwischen Auftraggeber und Auftragnehmer wirft Fragen zum Kundendatenschutz des Konzerns auf. Die Umsetzung des Dienstleisters erweckt den Eindruck, sie sei unter Unkenntnis der Web-Sicherheitsstandards der letzten zehn Jahre entstanden. Diese ermöglichen schon lange eine vollständige Implementierung der vom Portal angebotenen Funktionalität, ohne Daten an beliebige Dritte weiterzugeben.

Teil der neuen Digitalisierungsstrategie der Deutschen Bahn kann es nicht sein, Sicherheitslücken einfach in Kauf zu nehmen. Stattdessen sollte ein Teil der Millioneninvestitionen in geeignete Security-Audits investiert werden. Wer sich eine „Digitalisierungsoffensive“ auf die Fahnen schreibt, kann nicht den Datenschutz außen vor lassen.

Links:

[0] WLAN im ICE: Der Patch der Deutschen Bahn, der keiner war

[1] Pressebericht mit Statement der Bahn

[2] Chapter 3: Täglich grüßt das Murmeltier

[3] Was das neue Bahn-Wifi über seine Nutzer ausplaudert

[4] Icomera-Statement (pdf)