Datenschutz im Zug: Deutsche Bahn will Sicherheitslücke in neuem ICE-WLAN schließen (Update)

Durch die unsichere Infrastruktur des neuen ICE-WLANs konnten Nutzerdaten, wie zum Beispiel MAC-Adressen, ausgewertet werden. Die Deutsche Bahn reagiert und will heute noch ein Softwareupdate einspielen, um das Problem zu beheben.

Das neue WLAN gibt Verbindungsdaten der Nutzer preis.
Das neue WLAN gibt Verbindungsdaten der Nutzer preis. – CC BY-NC-ND 2.0 via flickr/Jeff Stvan

Seit Anfang September stellt die Deutsche Bahn () ihre WLAN-Technik im ICE um. Das Mitglied nexus des Chaos Computer Clubs (CCC) in Hannover ist durch Zufall auf eine Sicherheitslücke im System gestoßen. Demnach können Informationen wie die GPS-Koordinaten des Zuges und die eindeutige Hardware-Adresse der verbundenen Geräte ausgewertet werden. Möglich ist das durch die Einbindung eines Skripts auf einer beliebigen Webseite.

Durch das eingebundene Skript kann sich ein Angreifer Zugang auf Statusinformationen des Netzwerks verschaffen. Besucht ein Nutzer eine Webseite, auf der das Skript eingebunden ist, erhält der Angreifer Zugriff auf diese Informationen. Aufgrund der ungesicherten Verwendung von JSONP zur Übertragung von Informationen in der neuen Infrastruktur der Deutschen Bahn ist diese Sicherheitslücke entstanden. Der Nutzer nexus hat eine genaue Beschreibung auf der Webseite des CCC Hannover veröffentlicht.

Problem mit der Privatsphäre

Durch den ungesicherten Zugang zu sensiblen Daten der Nutzer ergeben sich Probleme mit der Privatsphäre. So können zum Beispiel durch Werbebanner Verbindungsdaten ausgelesen und Bewegungsprofile erstellt werden. Selbst mit einem aktivierten Ad-Blocker könnten entsprechende Skripte auf zum Beispiel gehackten Seiten eingebunden werden. Ein Webseiten-Betreiber könnte das Skript auch selbst in seine Seite einbauen.

In dem Beitrag von nexus wird erwähnt, wie man sich vor dem Skript schützen kann. Demnach soll in der Firewall die TCP-Verbindung zu der Adresse 172.16.0.1 blockiert werden.

Ein DB-Sprecher kommentierte gegenüber netzpolitik.org, dass die Bahn reagiert und die Sicherheitslücke noch heute schließen will:

Wie bei Einführungsphasen üblich, testen wir das neue WLAN-System permanent auf Funktionsfähigkeit und Sicherheit. Wir haben die vom Chaos Computer Club beschriebene vermeintliche Sicherheitslücke identifiziert. Wir haben bereits begonnen, ein Softwareupdate aufzuspielen, so dass das Problem bis zum Ende des Tages bei allen Zügen behoben sein wird.

Update: Wir haben inzwischen auch ein Statement von nexus, der die Sicherheitslücke aufgedeckt hat:

Für ein Unternehmen wie die Deutsche Bahn finde ich es peinlich, dass es offensichtlich nicht möglich ist, neue Systeme in funktionierendem und sicheren Zustand auszurollen. Offensichtlich wiegen Kostendruck, Rentabilität und öffentlich wirksame Deadlines mehr als die Sicherheit der Kunden.

Weiterhin wäre nun ein guter Zeitpunkt für die Bahn gekommen, um mit gutem Beispiel voranzugehen und auf Vorschaltseiten zu verzichten. Offensichtlich stellen diese Seiten nicht nur eine ärgerliche Zugriffshürde dar, sondern bergen auch ein Sicherheitsrisiko für die Nutzer.

Update 2: Anscheinend ist von der Sicherheitslücke nicht nur die Deutsche Bahn betroffen. Ein Nutzer aus Schweden hat sich bei nexus gemeldet. Mit dem bereitgestellten Skript war er auch bei der staatlichen Eisenbahn (SJ) erfolgreich. Die für das System verantwortliche Firma Icomera ist für mehrere Bahnunternehmen in Europa tätig. Es wäre daher durchaus denkbar, dass es nicht nur in Deutschland und Schweden dieses Problem gibt.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

9 Ergänzungen

  1. Dieses „eingebundene“ Skript ist nichts anderes als Malware. Es kann eingeschleust werden, weil die Bahn HTTP-Verkehr MITMet. Vielleicht braucht es ein Firefox-Plugin, das Skripte mit bestimmter Signatur blockiert. Ähnlich zu einem Antivirusprogramm.

  2. Icomera: „the world’s leading provider of open Internet connectivity and application platforms for passenger transport and public safety“.

    Eine Aussage, die vollumfänglich den Tatsachen entspricht, nicht nur bei der DB AG.

    Der Service bietet unter Anderem folgende Endpoints, welche sich unter der Adresse https://www.ombord.info/api/jsonp/ auch praktisch auflisten lassen:

    https://www.ombord.info/api/jsonp/position/ liefert die aktuelle GPS-Position des Zuges nebst Geschwindigkeit
    https://www.ombord.info/api/jsonp/user/ liefert Informationen über den User, wie die lokale IP, die MAC-Adresse und Transfer-Statistiken
    https://www.ombord.info/api/jsonp/users/ liefert allgemeine Nutzerstatistiken (Anzahl der eingeloggten User)
    https://www.ombord.info/api/jsonp/connectivity/ liefert detaillierte Informationen über die aktuellen Datenverbindungen (APNs, Signalstärken, Cell-ID, genutztes Modem, Verbindungsstatus)

    Staatliche Überwachung leicht gemacht, zur Vervollständigung von Bewegungsprofilen, auch nach Schließung der „Sicherheitslücke“.

    Merke: Nichts wird gesammelt, ohne einen Nutzen daraus zu ziehen.

  3. Die Links oben sind sehr praktisch und ein toller Service. Sie funktionieren nach wie vor :-)

    viele Grüße aus einem WIFIonICE-Wlan

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.