Falk Garbsch ist nicht nur der Sprecher des Chaos Computer Clubs, er hat die Sicherheitslücke bei der Bahn auch selbst entdeckt. Sein Vorwurf: Persönliche Daten der Bahnreisenden seien im WLAN-Netz der ICE-Züge auch von Fremden mitlesbar.
Das Problem ist, dass die Bahn da viele Systeme in diesem Netz hat, die dafür da sind, um zum Beispiel diese Kartenansicht, wo man sich gerade befindet, anzuzeigen und ähnliches. Und diese Systeme können eben nicht nur von Webseiten innerhalb des Zugs abgefragt werden, sondern auch von Webseiten, die man außerhalb besucht.
Also Seiten, die im Internet zu finden sind, aber besonders programmiert wurden. Die Deutsche Bahn bestätigte in einer E-Mail an MDR Aktuell diese Sicherheitslücke:
Dabei könnten über entsprechend präparierte Internetseiten die sogenannte MAC-Adresse, eine Art Online-Identifikationsnummer des Gerätes, aktuelle Standortinformationen des Zuges, das vom Gerät verbrauchte Datenvolumen, die Wagenklasse sowie die Onlinezeit abgegriffen werden.
Für Falk Garbsch wird das zu einem Problem, wenn die Bahn die Sicherheitslücke nicht bald schließt,
…weil üblicherweise Werbefirmen daran ein großes Interesse haben werden, diese Daten abzurufen, und für Profilbildung zu nutzen.
Werbetreibende können anhand der Gerätidentifikationsnummer die Person verfolgen und beim nächsten Besuch wiedererkennen: Von wo nach wo fährt sie? An welchen Wochentagen? Nutzt sie die teure 1. Klasse oder die billigere 2. Klasse? Viele Informationen, die beispielsweis für gezielte Werbung wichtig sind, die aber die meisten Menschen nicht veröffentlichen möchten. Falk Garbsch hat die Bahn bereits im Oktober 2016 auf das Problem aufmerksam gemacht.
Dazu stellt die Deutsche Bahn schriftlich fest:
Eine umgehend angestoßene Analyse hat gezeigt, dass die im Oktober identifizierte und mithilfe eines Updates geschlossene Schwachstelle mit einer anderen Methode erneut ausgenutzt werden kann.
Falk Garbsch entgegnet:
Das stimmt so nicht. Es ist die gleiche Lücke. Es ist die gleiche Methode. Das ist schon im größten Teil peinlich, was da passiert. Und vor allem geht es ja um ein Projekt, was die 100 Millionen Euro übersteigt. Da muss es doch drin sein, ein bisschen Dokumentation zu lesen.
Die Pressestelle der Deutschen Bahn schreibt dazu in ihrer E-Mail:
Wir gehen davon aus, dass wir den Fehler kurzfristig beheben können.
Die Lösung des Problems sei relativ einfach, meint der Sprecher des Chaos Computer Clubs, Falk Garbsch, denn das generelle Problem ist seit Jahren bekannt und trat schon bei vielen Anbietern auf:
Wenn man so ein bisschen im Bereich Webentwicklung nachliest, dann findet man relativ schnell auch die Informationen, die man braucht, um diese Lücke dauerhaft zu schließen.
Bis dahin surfen die Bahnkunden allerdings weiterhin unsicher durch das Internet.
Fehler wurde nicht sofort beseitigt
Entgegen ersten Angaben der Bahn ist der Fehler nicht sofort behoben worden und ist auch am 21.07.17 noch vorhanden.