path: root/updates/2017/sicherheitslucke-im-wlan-der-ices-nicht-behoben.md

title: WLAN-Sicherheitslücke in ICEs der Deutschen Bahn nicht behoben
date: 2017-07-20 09:23:00 
updated: 2017-07-20 11:14:30 
author: nexus
tags: update, pressemitteilung

Durch eine Sicherheitslücke im WLAN der ICEs der Deutschen Bahn können Daten über die Nutzer gegenüber Dritten offengelegt werden. Nachdem der Chaos Computer Club auf die Schwachstelle hingewiesen hat, gestand die Bahn den Fehler ein, der Hersteller Icomera spricht hingegen von einem Feature.

<!-- TEASER_END -->

Der Web-Browser der surfenden Reisenden verrät durch eine seit dem Start
der ICE-WLANs bestehende Sicherheitslücke diverse Informationen wie
Zugnummer, Wagenklasse und genauen Standort an beliebige besuchte
Internetseiten. \[0\] Zusätzlich werden die Einbuchungsdauer, der
Datenverbrauch und die weltweit eindeutige MAC-Adresse des WLAN-Adapters
übertragen, wodurch sich Hardwaregeräte wie Laptops, Mobiltelefone oder
Tablets eindeutig identifizieren lassen – selbst bei eventuell
eingeschaltetem VPN-Dienst. Dabei ist der Einsatz von in Browser
integrierten Abwehrmechanismen gegen genau dieses Verhalten bereits seit
Jahren gängige Praxis in der Webentwicklung. Es handelt sich also um ein
trivial zu vermeidendes Problem.

Trotz anderslautender Stellungnahmen der Deutschen Bahn gegenüber der
Presse \[1\], ist die Sicherheitslücke bisher nicht geschlossen worden:
Ähnlich wie nach der ersten CCC-Analyse aus dem letzten Jahr \[3\] wurde
eine Sofortkorrektur eingespielt. Als Resultat dieser beiden „Hotfixes“
wurden viele der kritischen Datenfelder über das untersuchte
JSONP-Interface nicht mehr ausgeliefert. Jedoch wurde im Rahmen einer
weiteren Überarbeitung seit dem letzten Jahr einerseits der erste Hotfix
praktisch wieder zurückgerollt und zudem eine weitere – noch einfachere
– Schnittstelle allen Webseiten geöffnet, die nun dieselben Daten bequem
per AJAX-Zugriff abrufen können. \[2\]

Icomera gab – im Gegensatz zum Auftraggeber Deutsche Bahn – am 18. Juli
an, dass gar kein Sicherheitsproblem bestehe. \[4\] Wörtlich heißt es in
der Icomera-Stellungnahme:\
*„Following a thorough assessment of the hacker/passenger’s claims we
have determined that there was no vulnerability. The hacker/passenger’s
experience corresponds with behaviours expected from our system and the
only data that was exposed was their own MAC address and basic
identifiers and statistics of the Icomera hardware they were connected
to.“ (Hervorhebung im Original)*

Demnach hätte eine „sorgfältige Bewertung“ ergeben, dass es „keine
Schwachstelle“ gäbe. Vielmehr sei das beschriebene Verhalten zu
erwarten. Nur die eigene MAC-Adresse sowie einfache Identifikatoren und
statistische Angaben würden exponiert. Diese Diskrepanz in den
Stellungnahmen zwischen Auftraggeber und Auftragnehmer wirft Fragen zum
Kundendatenschutz des Konzerns auf. Die Umsetzung des Dienstleisters
erweckt den Eindruck, sie sei unter Unkenntnis der
Web-Sicherheitsstandards der letzten zehn Jahre entstanden. Diese
ermöglichen schon lange eine vollständige Implementierung der vom Portal
angebotenen Funktionalität, ohne Daten an beliebige Dritte
weiterzugeben.

Teil der neuen Digitalisierungsstrategie der Deutschen Bahn kann es
nicht sein, Sicherheitslücken einfach in Kauf zu nehmen. Stattdessen
sollte ein Teil der Millioneninvestitionen in geeignete Security-Audits
investiert werden. Wer sich eine „Digitalisierungsoffensive“ auf die
Fahnen schreibt, kann nicht den Datenschutz außen vor lassen.

Links:

\[0\] [WLAN im ICE: Der Patch der Deutschen Bahn, der keiner
war](http://ccc.de/de/updates/2017/bahn-wlan)

\[1\] [Pressebericht mit Statement der
Bahn](https://motherboard.vice.com/de/article/j5qaad/hacker-entdeckt-erneut-sicherheitslucke-im-wlan-der-deutschen-bahn)

\[2\] [Chapter 3: Täglich grüßt das
Murmeltier](http://hannover.ccc.de/~nexus/dbwifi/chapter3.html)

\[3\] [Was das neue Bahn-Wifi über seine Nutzer
ausplaudert](http://hannover.ccc.de/~nexus/dbwifi/)

\[4\]
[Icomera-Statement](https://www.zugreiseblog.de/wp-content/uploads/2017/07/icomera-customer-statement-18_07_17.pdf)
(pdf)