committing page revision 1

author: 46halbe <46halbe@berlin.ccc.de> 2017-07-20 10:50:37 +0000
committer: 46halbe <46halbe@berlin.ccc.de> 2020-05-23 13:40:03 +0000
commit: 138d958bc39098ce664cb9dd8981bc427af187b0 (patch)
tree: aeea4384a0e891454b280c18832be7f2f032b8f3 /updates/2017
parent: cd5a135ab05bfa41a48892adb28c4cf582025fdb (diff)
1 files changed, 78 insertions, 0 deletions
diff --git a/updates/2017/sicherheitslucke-im-wlan-der-ices-nicht-behoben.md b/updates/2017/sicherheitslucke-im-wlan-der-ices-nicht-behoben.md
new file mode 100644
index 00000000..e88722a3
--- /dev/null
+++ b/updates/2017/sicherheitslucke-im-wlan-der-ices-nicht-behoben.md
@@ -0,0 +1,78 @@
+title: WLAN-Sicherheitslücke in ICEs der Deutschen Bahn nicht behoben
+date: 2017-07-20 09:23:00 
+updated: 2017-07-20 10:50:37 
+author: nexus
+tags: update, pressemitteilung
+Durch eine Sicherheitslücke im WLAN der ICEs der Deutschen Bahn können Daten über die Nutzer gegenüber Dritten offengelegt werden. Nachdem der Chaos Computer Club auf die Schwachstelle hingewiesen hat, gestand die Bahn den Fehler ein, der Hersteller Icomera spricht hingegen von einem Feature.
+<!-- TEASER_END -->
+Der Web-Browser der surfenden Reisenden verrät durch eine seit dem Start
+der ICE-WLANs bestehende Sicherheitslücke diverse Informationen wie
+Zugnummer, Wagenklasse und genauen Standort an beliebige besuchte
+Internetseiten. \[0\] Zusätzlich werden die Einbuchungsdauer, der
+Datenverbrauch und die weltweit eindeutige MAC-Adresse des WLAN-Adapters
+übertragen, wodurch sich Hardwaregeräte wie Laptops, Mobiltelefone oder
+Tablets eindeutig identifizieren lassen – selbst bei eventuell
+eingeschaltetem VPN-Dienst. Dabei ist der Einsatz von in Browser
+integrierten Abwehrmechanismen gegen genau dieses Verhalten bereits seit
+Jahren gängige Praxis in der Webentwicklung. Es handelt sich also um ein
+trivial zu vermeidendes Problem.
+Trotz anderslautender Stellungnahmen der Deutschen Bahn gegenüber der
+Presse \[1\], ist die Sicherheitslücke bisher nicht geschlossen worden:
+Ähnlich wie nach der ersten CCC-Analyse aus dem letzten Jahr \[3\] wurde
+eine Sofortkorrektur eingespielt. Als Resultat dieser beiden „Hotfixes“
+wurden viele der kritischen Datenfelder über das untersuchte
+JSONP-Interface nicht mehr ausgeliefert. Jedoch wurde im Rahmen einer
+weiteren Überarbeitung seit dem letzten Jahr einerseits der erste Hotfix
+praktisch wieder zurückgerollt und zudem eine weitere – noch einfachere
+– Schnittstelle allen Webseiten geöffnet, die nun dieselben Daten bequem
+per AJAX-Zugriff abrufen können. \[2\]
+Icomera gab – im Gegensatz zum Auftraggeber Deutsche Bahn – am 18. Juli
+an, dass gar kein Sicherheitsproblem bestehe. \[4\] Wörtlich heißt in
+der Icomera-Stellungnahme:\
+*„Following a thorough assessment of the hacker/passenger’s claims we
+have determined that there was no vulnerability. The hacker/passenger’s
+experience corresponds with behaviours expected from our system and the
+only data that was exposed was their own MAC address and basic
+identifiers and statistics of the Icomera hardware they were connected
+to.“ (Hervorhebung im Original)*
+Demnach hätte eine „sorgfältige Bewertung“ ergeben, dass es „keine
+Schwachstelle“ gäbe. Vielmehr sei das beschriebene Verhalten zu
+erwarten. Nur die eigene MAC-Adresse sowie einfache Identifikatoren und
+statistische Angaben würden exponiert. Diese Diskrepanz in den
+Stellungnahmen zwischen Auftraggeber und Auftragnehmer wirft Fragen zum
+Kundendatenschutz des Konzerns auf. Die Umsetzung des Dienstleisters
+erweckt den Eindruck, sie sei unter Unkenntnis der
+Web-Sicherheitsstandards der letzten zehn Jahre entstanden. Diese
+ermöglichen schon lange eine vollständige Implementierung der vom Portal
+angebotenen Funktionalität, ohne Daten an beliebige Dritte
+weiterzugeben.
+Teil der neuen Digitalisierungsstrategie der Deutschen Bahn kann es
+nicht sein, Sicherheitslücken einfach in Kauf zu nehmen. Stattdessen
+sollte ein Teil der Millioneninvestitionen in geeignete Security-Audits
+investiert werden. Wer sich eine „Digitalisierungsoffensive“ auf die
+Fahnen schreibt, kann nicht den Datenschutz außen vor lassen.
+Links:
+\[0\] [WLAN im ICE: Der Patch der Deutschen Bahn, der keiner
+war](http://ccc.de/de/updates/2017/bahn-wlan)
+\[1\] [Pressebericht mit Statement der
+Bahn](https://motherboard.vice.com/de/article/j5qaad/hacker-entdeckt-erneut-sicherheitslucke-im-wlan-der-deutschen-bahn)
+\[2\] [Chapter 3: Täglich grüßt das
+Murmeltier](http://hannover.ccc.de/~nexus/dbwifi/chapter3.html)
+\[3\] [Was das neue Bahn-Wifi über seine Nutzer
+ausplaudert](http://hannover.ccc.de/~nexus/dbwifi/)
+\[4\]
+[Icomera-Statement](https://www.zugreiseblog.de/wp-content/uploads/2017/07/icomera-customer-statement-18_07_17.pdf)
+(pdf)
author	46halbe <46halbe@berlin.ccc.de>	2017-07-20 10:50:37 +0000
committer	46halbe <46halbe@berlin.ccc.de>	2020-05-23 13:40:03 +0000
commit	138d958bc39098ce664cb9dd8981bc427af187b0 (patch)
tree	aeea4384a0e891454b280c18832be7f2f032b8f3 /updates/2017
parent	cd5a135ab05bfa41a48892adb28c4cf582025fdb (diff)

diff --git a/updates/2017/sicherheitslucke-im-wlan-der-ices-nicht-behoben.md b/updates/2017/sicherheitslucke-im-wlan-der-ices-nicht-behoben.md new file mode 100644 index 00000000..e88722a3 --- /dev/null +++ b/updates/2017/sicherheitslucke-im-wlan-der-ices-nicht-behoben.md
@@ -0,0 +1,78 @@
	1	title: WLAN-Sicherheitslücke in ICEs der Deutschen Bahn nicht behoben
	2	date: 2017-07-20 09:23:00
	3	updated: 2017-07-20 10:50:37
	4	author: nexus
	5	tags: update, pressemitteilung
	6
	7	Durch eine Sicherheitslücke im WLAN der ICEs der Deutschen Bahn können Daten über die Nutzer gegenüber Dritten offengelegt werden. Nachdem der Chaos Computer Club auf die Schwachstelle hingewiesen hat, gestand die Bahn den Fehler ein, der Hersteller Icomera spricht hingegen von einem Feature.
	8
	9	<!-- TEASER_END -->
	10
	11	Der Web-Browser der surfenden Reisenden verrät durch eine seit dem Start
	12	der ICE-WLANs bestehende Sicherheitslücke diverse Informationen wie
	13	Zugnummer, Wagenklasse und genauen Standort an beliebige besuchte
	14	Internetseiten. \[0\] Zusätzlich werden die Einbuchungsdauer, der
	15	Datenverbrauch und die weltweit eindeutige MAC-Adresse des WLAN-Adapters
	16	übertragen, wodurch sich Hardwaregeräte wie Laptops, Mobiltelefone oder
	17	Tablets eindeutig identifizieren lassen – selbst bei eventuell
	18	eingeschaltetem VPN-Dienst. Dabei ist der Einsatz von in Browser
	19	integrierten Abwehrmechanismen gegen genau dieses Verhalten bereits seit
	20	Jahren gängige Praxis in der Webentwicklung. Es handelt sich also um ein
	21	trivial zu vermeidendes Problem.
	22
	23	Trotz anderslautender Stellungnahmen der Deutschen Bahn gegenüber der
	24	Presse \[1\], ist die Sicherheitslücke bisher nicht geschlossen worden:
	25	Ähnlich wie nach der ersten CCC-Analyse aus dem letzten Jahr \[3\] wurde
	26	eine Sofortkorrektur eingespielt. Als Resultat dieser beiden „Hotfixes“
	27	wurden viele der kritischen Datenfelder über das untersuchte
	28	JSONP-Interface nicht mehr ausgeliefert. Jedoch wurde im Rahmen einer
	29	weiteren Überarbeitung seit dem letzten Jahr einerseits der erste Hotfix
	30	praktisch wieder zurückgerollt und zudem eine weitere – noch einfachere
	31	– Schnittstelle allen Webseiten geöffnet, die nun dieselben Daten bequem
	32	per AJAX-Zugriff abrufen können. \[2\]
	33
	34	Icomera gab – im Gegensatz zum Auftraggeber Deutsche Bahn – am 18. Juli
	35	an, dass gar kein Sicherheitsproblem bestehe. \[4\] Wörtlich heißt in
	36	der Icomera-Stellungnahme:\
	37	*„Following a thorough assessment of the hacker/passenger’s claims we
	38	have determined that there was no vulnerability. The hacker/passenger’s
	39	experience corresponds with behaviours expected from our system and the
	40	only data that was exposed was their own MAC address and basic
	41	identifiers and statistics of the Icomera hardware they were connected
	42	to.“ (Hervorhebung im Original)*
	43
	44	Demnach hätte eine „sorgfältige Bewertung“ ergeben, dass es „keine
	45	Schwachstelle“ gäbe. Vielmehr sei das beschriebene Verhalten zu
	46	erwarten. Nur die eigene MAC-Adresse sowie einfache Identifikatoren und
	47	statistische Angaben würden exponiert. Diese Diskrepanz in den
	48	Stellungnahmen zwischen Auftraggeber und Auftragnehmer wirft Fragen zum
	49	Kundendatenschutz des Konzerns auf. Die Umsetzung des Dienstleisters
	50	erweckt den Eindruck, sie sei unter Unkenntnis der
	51	Web-Sicherheitsstandards der letzten zehn Jahre entstanden. Diese
	52	ermöglichen schon lange eine vollständige Implementierung der vom Portal
	53	angebotenen Funktionalität, ohne Daten an beliebige Dritte
	54	weiterzugeben.
	55
	56	Teil der neuen Digitalisierungsstrategie der Deutschen Bahn kann es
	57	nicht sein, Sicherheitslücken einfach in Kauf zu nehmen. Stattdessen
	58	sollte ein Teil der Millioneninvestitionen in geeignete Security-Audits
	59	investiert werden. Wer sich eine „Digitalisierungsoffensive“ auf die
	60	Fahnen schreibt, kann nicht den Datenschutz außen vor lassen.
	61
	62	Links:
	63
	64	\[0\] [WLAN im ICE: Der Patch der Deutschen Bahn, der keiner
	65	war](http://ccc.de/de/updates/2017/bahn-wlan)
	66
	67	\[1\] [Pressebericht mit Statement der
	68	Bahn](https://motherboard.vice.com/de/article/j5qaad/hacker-entdeckt-erneut-sicherheitslucke-im-wlan-der-deutschen-bahn)
	69
	70	\[2\] [Chapter 3: Täglich grüßt das
	71	Murmeltier](http://hannover.ccc.de/~nexus/dbwifi/chapter3.html)
	72
	73	\[3\] [Was das neue Bahn-Wifi über seine Nutzer
	74	ausplaudert](http://hannover.ccc.de/~nexus/dbwifi/)
	75
	76	\[4\]
	77	[Icomera-Statement](https://www.zugreiseblog.de/wp-content/uploads/2017/07/icomera-customer-statement-18_07_17.pdf)
	78	(pdf)