From 138d958bc39098ce664cb9dd8981bc427af187b0 Mon Sep 17 00:00:00 2001 From: 46halbe <46halbe@berlin.ccc.de> Date: Thu, 20 Jul 2017 10:50:37 +0000 Subject: committing page revision 1 --- ...herheitslucke-im-wlan-der-ices-nicht-behoben.md | 78 ++++++++++++++++++++++ 1 file changed, 78 insertions(+) create mode 100644 updates/2017/sicherheitslucke-im-wlan-der-ices-nicht-behoben.md diff --git a/updates/2017/sicherheitslucke-im-wlan-der-ices-nicht-behoben.md b/updates/2017/sicherheitslucke-im-wlan-der-ices-nicht-behoben.md new file mode 100644 index 00000000..e88722a3 --- /dev/null +++ b/updates/2017/sicherheitslucke-im-wlan-der-ices-nicht-behoben.md @@ -0,0 +1,78 @@ +title: WLAN-Sicherheitslücke in ICEs der Deutschen Bahn nicht behoben +date: 2017-07-20 09:23:00 +updated: 2017-07-20 10:50:37 +author: nexus +tags: update, pressemitteilung + +Durch eine Sicherheitslücke im WLAN der ICEs der Deutschen Bahn können Daten über die Nutzer gegenüber Dritten offengelegt werden. Nachdem der Chaos Computer Club auf die Schwachstelle hingewiesen hat, gestand die Bahn den Fehler ein, der Hersteller Icomera spricht hingegen von einem Feature. + + + +Der Web-Browser der surfenden Reisenden verrät durch eine seit dem Start +der ICE-WLANs bestehende Sicherheitslücke diverse Informationen wie +Zugnummer, Wagenklasse und genauen Standort an beliebige besuchte +Internetseiten. \[0\] Zusätzlich werden die Einbuchungsdauer, der +Datenverbrauch und die weltweit eindeutige MAC-Adresse des WLAN-Adapters +übertragen, wodurch sich Hardwaregeräte wie Laptops, Mobiltelefone oder +Tablets eindeutig identifizieren lassen – selbst bei eventuell +eingeschaltetem VPN-Dienst. Dabei ist der Einsatz von in Browser +integrierten Abwehrmechanismen gegen genau dieses Verhalten bereits seit +Jahren gängige Praxis in der Webentwicklung. Es handelt sich also um ein +trivial zu vermeidendes Problem. + +Trotz anderslautender Stellungnahmen der Deutschen Bahn gegenüber der +Presse \[1\], ist die Sicherheitslücke bisher nicht geschlossen worden: +Ähnlich wie nach der ersten CCC-Analyse aus dem letzten Jahr \[3\] wurde +eine Sofortkorrektur eingespielt. Als Resultat dieser beiden „Hotfixes“ +wurden viele der kritischen Datenfelder über das untersuchte +JSONP-Interface nicht mehr ausgeliefert. Jedoch wurde im Rahmen einer +weiteren Überarbeitung seit dem letzten Jahr einerseits der erste Hotfix +praktisch wieder zurückgerollt und zudem eine weitere – noch einfachere +– Schnittstelle allen Webseiten geöffnet, die nun dieselben Daten bequem +per AJAX-Zugriff abrufen können. \[2\] + +Icomera gab – im Gegensatz zum Auftraggeber Deutsche Bahn – am 18. Juli +an, dass gar kein Sicherheitsproblem bestehe. \[4\] Wörtlich heißt in +der Icomera-Stellungnahme:\ +*„Following a thorough assessment of the hacker/passenger’s claims we +have determined that there was no vulnerability. The hacker/passenger’s +experience corresponds with behaviours expected from our system and the +only data that was exposed was their own MAC address and basic +identifiers and statistics of the Icomera hardware they were connected +to.“ (Hervorhebung im Original)* + +Demnach hätte eine „sorgfältige Bewertung“ ergeben, dass es „keine +Schwachstelle“ gäbe. Vielmehr sei das beschriebene Verhalten zu +erwarten. Nur die eigene MAC-Adresse sowie einfache Identifikatoren und +statistische Angaben würden exponiert. Diese Diskrepanz in den +Stellungnahmen zwischen Auftraggeber und Auftragnehmer wirft Fragen zum +Kundendatenschutz des Konzerns auf. Die Umsetzung des Dienstleisters +erweckt den Eindruck, sie sei unter Unkenntnis der +Web-Sicherheitsstandards der letzten zehn Jahre entstanden. Diese +ermöglichen schon lange eine vollständige Implementierung der vom Portal +angebotenen Funktionalität, ohne Daten an beliebige Dritte +weiterzugeben. + +Teil der neuen Digitalisierungsstrategie der Deutschen Bahn kann es +nicht sein, Sicherheitslücken einfach in Kauf zu nehmen. Stattdessen +sollte ein Teil der Millioneninvestitionen in geeignete Security-Audits +investiert werden. Wer sich eine „Digitalisierungsoffensive“ auf die +Fahnen schreibt, kann nicht den Datenschutz außen vor lassen. + +Links: + +\[0\] [WLAN im ICE: Der Patch der Deutschen Bahn, der keiner +war](http://ccc.de/de/updates/2017/bahn-wlan) + +\[1\] [Pressebericht mit Statement der +Bahn](https://motherboard.vice.com/de/article/j5qaad/hacker-entdeckt-erneut-sicherheitslucke-im-wlan-der-deutschen-bahn) + +\[2\] [Chapter 3: Täglich grüßt das +Murmeltier](http://hannover.ccc.de/~nexus/dbwifi/chapter3.html) + +\[3\] [Was das neue Bahn-Wifi über seine Nutzer +ausplaudert](http://hannover.ccc.de/~nexus/dbwifi/) + +\[4\] +[Icomera-Statement](https://www.zugreiseblog.de/wp-content/uploads/2017/07/icomera-customer-statement-18_07_17.pdf) +(pdf) -- cgit v1.2.3