BVG zu Datenschutzleck in eTickets: It’s not a bug, it’s a feature

Das eTicket des VBB konnte mehr als es sollte.

Ende letzten Jahres stellte es sich heraus, dass die in Berlin und Brandenburg eingesetzte VBB-fahrCard entgegen offizieller Angaben Bewegungsprofile speichern kann, die mit herkömmlichen Smartphones und der App mytraQ ausgelesen werden können.

Die Piratenfraktion im Berliner Abgeordnetenhaus hat dazu eine Anfrage gestellt. Der Verkehrsverbund Berlin-Brandenburg hatte bis zur Veröffentlichung des Datenlecks in Infobroschüren behauptet:

Es ist weder technisch noch organisatorisch möglich, sogenannte Bewegungsprofile auf der Karte oder im System zu speichern. Bei der Kontrolle wird lediglich geprüft, ob Ihr elektronischer Fahrausweis gültig ist. Es werden keine personenbezogenen Daten gespeichert.

Die Berliner Verkehrsbetriebe (BVG), die mit dem VBB zusammenarbeiten, haben dem Senat Antworten auf die Anfrage der Piraten übermittelt. Darin wird ausgeführt, dass die Kontrollgeräte für Fahrkarten in Bussen bis zur Abschaltung der Funktion 2015 auch den Zeitpunkt der Prüfung, die Haltestellennummer und die Nummer des prüfenden Terminals auf die Karte schrieben. Damit ließ sich für alle Busfahrten nachvollziehen, wo und wann ein Fahrgast eingestiegen ist. Das ermöglichte Bewegungsprofile, zumindest für die Nutzer von Nahverkehrsbussen, bei allen anderen Verkehrsmitteln und Kontrollgeräten erfolgte nach derzeitigem Wissen keine Speicherung der Ortsdaten.

Interessanterweise versteht die BVG das datenschutzrechtlich bedenkliche Mitprotokollieren dieser nicht als Fehler:

Es handelt sich hier nicht um ein Leck bzw. einen Systemfehler. Die BVG hat zwar beim Hersteller diese Funktion nicht beauftragt, jedoch hat dieser die in der (((e-Ticket-Deutschland-Spezifikation beschriebenen Funktionen spezifikationskonform in das Testsystem implementiert.

„It’s not a bug, it’s a feature“ will man damit wohl ausdrücken. Dass die BVG und VBB nicht bemerkt haben wollen, dass diese Funktion aktiviert war, deutet auf die Vernachlässigung einer sorgfältigen Prüfung des Produkts hin. Und steht in deutlichem Widerspruch zu folgender Aussage:

Die BVG testet mit den anderen im VBB verkehrenden Unternehmen permanent die Funktionen des VBB-fahrCard-Systems und stimmt sich mit ihnen über die Funktionen ab. Datenschutzrechtliche Aspekte werden gemeinsam mit dem Landesdatenschutz der Länder Berlin und Brandenburg im Vorfeld untersucht.

Einer der Fragesteller, Andreas Baum von der Piratenfraktion, kommentiert:

Der Umgang mit dem Bewegungsprofil-Datenleck der VBB-fahrCard zeigt, dass die BVG den Schutz personenbezogener Daten nicht ausreichend gewährleistet.

In Informationsbroschüren und selbst auf Nachfrage wurden Kund*innen darauf verwiesen, dass keinerlei Ortsdaten erhoben, erstellt oder verarbeitet würden. Gleichzeitig wurde auf technischer Seite aber genau das getan, indem auf den VBB- fahrcards gespeichert wurde, wann und wo die Kund*innen in den Bus eingestiegen sind. Hinzu kommt, dass jede und jeder mit einem NFC-fähigen Smartphone diese Daten auslesen konnte. Damit waren während des gesamten Jahres 2015 die technischen Möglichkeiten gegeben, dass sowohl die BVG als auch Dritte diese Daten zu Bewegungsprofilen weiterverarbeiten konnten.

Erst die Recherche vom Fahrgastverband IGEB deckte das Datenleck auf, doch selbst jetzt verschließt die BVG die Augen und erklärt, es handele sich hier nicht um ein Leck bzw. einen Systemfehler.

Auf eine wenig ambitionierte Sicherheits- und Datenschutzprüfung deutet auch hin, dass die BVG keinerlei Aussagen dazu machen kann, welche kryptographischen Vorkehrungen getroffen werden, um die Fahrkarten dem Terminal gegenüber zu authentifizieren. Sie sei „lediglich Anwender des Standards“, rechtfertigt man sich. Spätestens nach der Meldung, dass die Logeinträge auf den Karten von jedem NFC-fähigen Smartphone ohne Weiteres im Nahbereich ausgelesen werden konnten, wäre ein generelles Interesse an den Datenschutzvorkehrungen angebracht. „Höchste Sicherheitsstandards“, wie angepriesen, sehen anders aus.

Der Senat selbst, an den die Anfragen gerichtet waren, beantwortet keine davon, auch wenn explizit nach seiner Einschätzung – nicht der der BVG – gefragt wird. Fragesteller Baum kritisiert:

Dass der Senat die an ihn gerichteten Fragen gleich gar nicht beantwortet, zeigt das mangelnde Interesse dieses Senats am Schutz der persönlichen Daten der Fahrgäste der BVG. Senator Geisel muss ein datenschutzpolitisches Konzept vorlegen und erklären, wie er solche Vorfälle in Zukunft vehindern will.

Laut Angaben der BVG wurde der Hersteller der Bus-Kontrollterminals dazu aufgefordert, die Implementierung der Speicherung von Bewegungsdaten zurückzunehmen. In der Zwischenzeit wurden die Prüfgeräte in Bussen außer Betrieb genommen. Ab Anfang Februar – also jetzt – soll es Kunden der BVG möglich sein, an Kundeninformationsterminals die auf den Karten gespeicherten Logeinträge ansehen und löschen zu können. Falls jemand von euch interessante Erfahrungen dabei machen sollte, nehmen wir die gerne über die üblichen Kanäle entgegen.

Update: Zufällig ist heute bei golem.de auch ein sehr ausführlicher, lesenswerter Artikel zum Thema VBB-Fahrcard erschienen.

18 Ergänzungen

  1. Und während deutschen Politikern und Unternehmen der Datenschutz mal wieder am Heck vorbei rauscht, fällt in China mit leisem „Wump“ ein Sack Reis um. Interessiert das noch irgendwen? Regt sich da noch wer auf? Schreckt jetzt wer zurück (nur EINER?) und sagt: „Mensch, du hattest recht mit deiner Warnung vor der Benutzung dieses Teils.“?
    Gibt es eigentlich in den letzten 10 Jahren auch nur EINE datenschutzrechtlich relevante Neuerung, die sich im Nachhinein NICHT als Katastrophe herausgestellt hat?

    1. schade, dass ihnen diese dinge so egal sind. dabei handelt es sich doch um ihre rechte!

      geben sie nicht auf, das hilft auch nicht.

      .~.

      1. Egal ist mir das bestimmt nicht. Eben so wenig wie die Vorratsdatenspeicherung und ein Haufen anderer Dinge. Nur wird sich im vorliegenden Fall bis auf ein paar Lippenbekenntnisse genau so wenig tun wie in allen anderen Fällen. Und sollte die Vorratsdatenspeicherung in einigen Monaten durch Gerichte gekippt werden, dann wird sie eben im kommenden Frühjahr kaum verändert wieder eingeführt – wenn sie durch alle anderen datentechnischen „Errungenschaften“ nicht ohnehin langsam überflüssig wird.
        Du verstehst schon, dass sich da bei mir eine gewisse Ermüdung einstellt.

  2. Bin Berliner und habe ein BVG-Abo. Darf ich bei der BVG ne Selbstauskunft beantragen? Oder die Löschung der Daten? Wäre schöne wenn Ihr da dranbleibt. Danke für die Infos schonmal!

      1. Ich war heute deswegen im BVG-Kundenzentrum am U-Bahnhof Alexanderplatz. Dort konnte mir der uninformiert wirkende Mitarbeiter nur sagen, dass in den Bussen kürzlich die Lesegeräte ausgetauscht worden sind, aber auf der fahrCard angeblich keine Standortdaten gespeichert werden/wurden. Ich werde mich jetzt an den Berliner Datenschutzbeauftragten wenden.

        @netzpolitik: Könnt ihr bitte mal eine offizielle Presseanfrage an die BVG stellen. Dort weiß man anscheinend auch nicht, welche Daten jetzt eigentlich gespeichert werden.

  3. Boah, was für eine unermessliche Dreistigkeit!
    Aber dafür bleibt sie ja ganz offenkundig straflos.
    Datenschutz Smatenschutz…

    Aber WEHE, Ottonormal leakt irgendwo auch nur ein Staatsbit…

  4. Danke @Holger, dann spare ich mir den Weg zum Kundenzentrum. Werde postalisch Auskunft über meine gespeicherten Daten verlangen- würde mich aber wundern, wenn die BVG die Daten selbst verwaltet. Solche Aufgaben werden doch idR an Spezialunternehmen vergeben, oder?

  5. Ich hab mich schon beim Ersten Mal, als ich so ein Ding in einem BVG-Bus entdeckt hab darüber aufgeregt. In meinem Bekanntenkreis konnte das (natürlich) keiner nachvollziehen, als ich meinte, damit könne man wunderbar Beweungsprofile erstellen. Deren Antwort wie üblich: „Was hast du denn zu verberben“ und „Das geht mit den Dingern bestimmt nicht“.
    Nun ja, ich hätte in diesem Fall ja sehr gerne Unrecht gehabt.

    Aber wer hat denn diese Teile eigentlich überhaupt benutzt?
    Ich wurde noch NIE von einem Busfahrer dazu aufgefordert, ihm nicht meine Karte zu zeigen sondern sie ans Gerät zu halten…

  6. Da kann ich ja von Glück sagen, dass ich als Abonnent im Hamburger Verkehrsverbund (HVV) noch immer mit „Oldschool“-Pappkärtchen rumfahren darf. Funktioniert bei der Kontrolle genauso gut und ist kein datenschutztechnisches Desaster.

  7. Hm, auf dem „eTicket RheinMain“ ist das „(((e-Logo“ auch zu sehen. Damit vermute ich mal, dass auch Mittelhessen vom Leck betroffen ist.

  8. Also für mich liest sich das (also die verlinkte Antwort jetzt) eher so, als hätte man zum Testen Karten im Feld gahabt, bei denen eine Logdatei, die zu Debugging-Zwecken geschrieben wird, ohne Authentisierung lesbar war. Hätte man das so konfiguriert, daß man zum Lesen ein gemeinsames Geheimnis kennen muß, wäre es nicht aufgefallen.
    Das heißt aber auch, daß „Abschalten der Funktion“ durch Setzen der korrekten Berechtigungen auf dem Logfile möglich ist, die Daten werden dann immer noch geschrieben, aber man kann es nicht mehr nachprüfen :)

    1. Ergänzung: Im Kundenzentrum gibt es einen Kundenterminal. Da kannst du die Karte ranhalten. Dann siehst du Uhrzeit, Datum und Haltestelle – allerdings nur als Zahlencode. Dann kannst du entscheiden ob du es löschen möchtest oder nicht.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.