summaryrefslogtreecommitdiff
path: root/updates/2017/sicherheitslucke-im-wlan-der-ices-nicht-behoben.md
diff options
context:
space:
mode:
Diffstat (limited to 'updates/2017/sicherheitslucke-im-wlan-der-ices-nicht-behoben.md')
-rw-r--r--updates/2017/sicherheitslucke-im-wlan-der-ices-nicht-behoben.md78
1 files changed, 78 insertions, 0 deletions
diff --git a/updates/2017/sicherheitslucke-im-wlan-der-ices-nicht-behoben.md b/updates/2017/sicherheitslucke-im-wlan-der-ices-nicht-behoben.md
new file mode 100644
index 00000000..e88722a3
--- /dev/null
+++ b/updates/2017/sicherheitslucke-im-wlan-der-ices-nicht-behoben.md
@@ -0,0 +1,78 @@
1title: WLAN-Sicherheitslücke in ICEs der Deutschen Bahn nicht behoben
2date: 2017-07-20 09:23:00
3updated: 2017-07-20 10:50:37
4author: nexus
5tags: update, pressemitteilung
6
7Durch eine Sicherheitslücke im WLAN der ICEs der Deutschen Bahn können Daten über die Nutzer gegenüber Dritten offengelegt werden. Nachdem der Chaos Computer Club auf die Schwachstelle hingewiesen hat, gestand die Bahn den Fehler ein, der Hersteller Icomera spricht hingegen von einem Feature.
8
9<!-- TEASER_END -->
10
11Der Web-Browser der surfenden Reisenden verrät durch eine seit dem Start
12der ICE-WLANs bestehende Sicherheitslücke diverse Informationen wie
13Zugnummer, Wagenklasse und genauen Standort an beliebige besuchte
14Internetseiten. \[0\] Zusätzlich werden die Einbuchungsdauer, der
15Datenverbrauch und die weltweit eindeutige MAC-Adresse des WLAN-Adapters
16übertragen, wodurch sich Hardwaregeräte wie Laptops, Mobiltelefone oder
17Tablets eindeutig identifizieren lassen – selbst bei eventuell
18eingeschaltetem VPN-Dienst. Dabei ist der Einsatz von in Browser
19integrierten Abwehrmechanismen gegen genau dieses Verhalten bereits seit
20Jahren gängige Praxis in der Webentwicklung. Es handelt sich also um ein
21trivial zu vermeidendes Problem.
22
23Trotz anderslautender Stellungnahmen der Deutschen Bahn gegenüber der
24Presse \[1\], ist die Sicherheitslücke bisher nicht geschlossen worden:
25Ähnlich wie nach der ersten CCC-Analyse aus dem letzten Jahr \[3\] wurde
26eine Sofortkorrektur eingespielt. Als Resultat dieser beiden „Hotfixes“
27wurden viele der kritischen Datenfelder über das untersuchte
28JSONP-Interface nicht mehr ausgeliefert. Jedoch wurde im Rahmen einer
29weiteren Überarbeitung seit dem letzten Jahr einerseits der erste Hotfix
30praktisch wieder zurückgerollt und zudem eine weitere – noch einfachere
31– Schnittstelle allen Webseiten geöffnet, die nun dieselben Daten bequem
32per AJAX-Zugriff abrufen können. \[2\]
33
34Icomera gab – im Gegensatz zum Auftraggeber Deutsche Bahn – am 18. Juli
35an, dass gar kein Sicherheitsproblem bestehe. \[4\] Wörtlich heißt in
36der Icomera-Stellungnahme:\
37*„Following a thorough assessment of the hacker/passenger’s claims we
38have determined that there was no vulnerability. The hacker/passenger’s
39experience corresponds with behaviours expected from our system and the
40only data that was exposed was their own MAC address and basic
41identifiers and statistics of the Icomera hardware they were connected
42to.“ (Hervorhebung im Original)*
43
44Demnach hätte eine „sorgfältige Bewertung“ ergeben, dass es „keine
45Schwachstelle“ gäbe. Vielmehr sei das beschriebene Verhalten zu
46erwarten. Nur die eigene MAC-Adresse sowie einfache Identifikatoren und
47statistische Angaben würden exponiert. Diese Diskrepanz in den
48Stellungnahmen zwischen Auftraggeber und Auftragnehmer wirft Fragen zum
49Kundendatenschutz des Konzerns auf. Die Umsetzung des Dienstleisters
50erweckt den Eindruck, sie sei unter Unkenntnis der
51Web-Sicherheitsstandards der letzten zehn Jahre entstanden. Diese
52ermöglichen schon lange eine vollständige Implementierung der vom Portal
53angebotenen Funktionalität, ohne Daten an beliebige Dritte
54weiterzugeben.
55
56Teil der neuen Digitalisierungsstrategie der Deutschen Bahn kann es
57nicht sein, Sicherheitslücken einfach in Kauf zu nehmen. Stattdessen
58sollte ein Teil der Millioneninvestitionen in geeignete Security-Audits
59investiert werden. Wer sich eine „Digitalisierungsoffensive“ auf die
60Fahnen schreibt, kann nicht den Datenschutz außen vor lassen.
61
62Links:
63
64\[0\] [WLAN im ICE: Der Patch der Deutschen Bahn, der keiner
65war](http://ccc.de/de/updates/2017/bahn-wlan)
66
67\[1\] [Pressebericht mit Statement der
68Bahn](https://motherboard.vice.com/de/article/j5qaad/hacker-entdeckt-erneut-sicherheitslucke-im-wlan-der-deutschen-bahn)
69
70\[2\] [Chapter 3: Täglich grüßt das
71Murmeltier](http://hannover.ccc.de/~nexus/dbwifi/chapter3.html)
72
73\[3\] [Was das neue Bahn-Wifi über seine Nutzer
74ausplaudert](http://hannover.ccc.de/~nexus/dbwifi/)
75
76\[4\]
77[Icomera-Statement](https://www.zugreiseblog.de/wp-content/uploads/2017/07/icomera-customer-statement-18_07_17.pdf)
78(pdf)