Die Deutsche Bahn hat erneut ein Sicherheitsproblem: Die bereits bekannte Lücke im WLAN der ICE-Züge besteht weiterhin, wie ein neuer Proof of Concept zeigt. Die präsentierte angebliche Lösung verhindert nicht, dass externe Webseiten noch immer persönliche Daten der Nutzer auslesen.
Eine konzeptuelle Sicherheitslücke erlaubt es Angreifern, hinterrücks Informationen wie den Standort, die MAC-Adresse von Endgeräten oder das genutzte Datenvolumen der Benutzer des WLANs im ICE zu sammeln. [0] Die Deutsche Bahn versprach im letzten Jahr dafür schnelle Abhilfe. Eine minimale Änderung, die vom Konzern als Behebung des Problems beim „WIFIonICE“ verkauft wurde, erweist sich jedoch als untauglich. Der von ihr beauftragte Dienstleister zeigte sich auch nach Monaten außer Stande, das Problem zu beheben.
Wer sich für die technischen Hintergründe interessiert und wissen will, wie genau die Bahn versucht hat, sich des Problems anzunehmen, und warum sie gescheitert ist, findet die Informationen beim CCC Hannover. [1]
Falk Garbsch, Sprecher des Chaos Computer Clubs, kommentiert: „Dass diese Sicherheitslücke bis heute noch besteht, ist ein peinliches Armutszeugnis. Die Bahn ist offensichtlich mit ihren eigenen Digitalisierungsstrategien vollends überfordert.“
Es bleibt wohl nur zu hoffen, dass die Bahn die Sicherheit bei ihren Zügen, Signalen und bei elektronischen Tickets besser im Griff hat.
Links:
[0] Ursprüngliche Sicherheitsanalyse: Was das neue Bahn-Wifi über seine Nutzer ausplaudert
[1] Neuer Proof of Concept: Die Bahn, ihr Wifi und die Amateure