{"id":36452,"date":"2016-10-24T20:05:56","date_gmt":"2016-10-24T19:05:56","guid":{"rendered":"http:\/\/www.schiebener.net\/wordpress\/?p=36452"},"modified":"2016-10-24T20:05:56","modified_gmt":"2016-10-24T19:05:56","slug":"sicherheitsluecke-bei-der-bahn-firmenkundendaten-frei-im-netz-verfuegbar","status":"publish","type":"post","link":"https:\/\/www.schiebener.net\/wordpress\/sicherheitsluecke-bei-der-bahn-firmenkundendaten-frei-im-netz-verfuegbar\/","title":{"rendered":"Sicherheitsl\u00fccke bei der Bahn: Firmenkundendaten frei im Netz verf\u00fcgbar."},"content":{"rendered":"

\"Screenshot
Screenshot aus dem Beispieldatensatz (Simon W\u00f6rpel (correctiv.ruhr))<\/figcaption><\/figure>Eine Online-Sicherheitsl\u00fccke offenbart, wie wenig sich die Deutsche Bahn um die Daten ihrer Kunden k\u00fcmmert.<\/em><\/strong><\/p>\n

Nicht nur auf der Schiene f\u00e4llt die Bahn regelm\u00e4\u00dfig mit maroder Infrastruktur auf. Auch im Internet ist die Technik teilweise von gestern. Wir haben eine Sicherheitsl\u00fccke entdeckt, \u00fcber die Daten von Firmenkunden leicht auszusp\u00e4hen sind.<\/strong><\/p>\n

Von Simon W\u00f6rpel (correctiv.ruhr<\/a>)<\/em><\/p>\n

Das Daten-Leck befindet sich im Gesch\u00e4ftskunden-Bereich. Hier wickeln weit \u00fcber zweihunderttausend Unternehmen ihre Gesch\u00e4ftsfahrten ab. CORRECTIV.RUHR war in der Lage, innerhalb weniger Minuten \u00fcber zehntausend Gesch\u00e4ftsadressen von bahn.business-Kunden abzugreifen, ohne daf\u00fcr eine Passwort-Sperre oder andere Sicherheits-Barrieren knacken zu m\u00fcssen.<\/p>\n

Wir haben uns diesen Beispieldatensatz von 10.139 Unternehmen und Organisationen genauer angeschaut, um die L\u00fccke bewerten zu k\u00f6nnen. Von Elterninitiativen an Schulen \u00fcber Mittelst\u00e4ndler bis hin zu Konzernen, Landesministerien und politischen Fraktionen ist alles dabei. Au\u00dfer ihrer Rechnungsadresse haben viele Gesch\u00e4ftskunden auch die Namen von entsprechenden Ansprechpartnern der Bahn anvertraut. Oder detaillierte Angaben \u00fcber die Lage der jeweils zust\u00e4ndigen Abteilungen oder B\u00fcros, so zum Beispiel \u201e2.OG Raum 2.13\u201c bei einer Firma aus Baden-W\u00fcrttemberg. Auch ausl\u00e4ndische Firmen, vorzugsweise aus China, sind in unserem Beispieldatensatz zu finden.<\/p>\n

Solche Daten d\u00fcrften vor allem f\u00fcr Werbetreibende und die Konkurrenz im Mobilit\u00e4tssektor interessant sein, da ziemlich klar ist, was man diesen Firmen verkaufen kann: Billigere Gesch\u00e4ftsreisen als bei der Bahn. Aber auch Kriminelle k\u00f6nnten die detaillierten Kontaktinformationen nutzen, um Briefe im Namen einer Firma zu verschicken und so \u201eSocial Engineering\u201c zu betreiben. Weiter k\u00f6nnten sie versuchen, mit den Informationen Fahrkarten \u00fcber die Namen der Unternehmen zu buchen.<\/p>\n

Unabh\u00e4ngig davon, ob und wie die Daten missbraucht werden k\u00f6nnten \u2013 allein, dass sie bei einem internationalen Konzern wie der Bahn so einfach zu bekommen sind, ist \u00fcberaus bedenklich.<\/p>\n

Die L\u00fccke ist technisch banal: Bahn.business-Kunden erhalten einen speziellen Link, \u00fcber den sich ihre Mitarbeiter als \u201eSelbstbucher\u201c registrieren k\u00f6nnen. Die gekauften Tickets werden dann direkt \u00fcber die Firma abgerechnet. Dieser Link hat in seiner Adresse einen Parameter namens \u201efirmenid\u201c, der jedem Kunden eine eigene Nummer zuweist. \u00c4ndert man diesen Parameter, erh\u00e4lt man die Eingabemaske f\u00fcr eine andere Firma \u2013 mit vorausgef\u00fcllter Rechnungsadresse und oftmals auch mit einem Ansprechpartner oder weiteren Details aus dem Gesch\u00e4ftsbetrieb der betroffenen Firma.<\/p>\n

Das Sp\u00e4h-Programm, das diese Abfrage sehr einfach automatisiert und die Daten in eine auswertbare Tabelle umwandelt, konnten wir in wenigen Minuten schreiben. Es hat 11 Zeilen und 799 Zeichen (inklusive Leerzeichen). Die Datenabfrage selbst dauerte f\u00fcr die \u00fcber 10.000 Adressen lediglich 45 Minuten.<\/p>\n

Wir haben die Bahn um eine Stellungnahme gebeten. Bis Redaktionsschluss lag diese nicht vor.<\/p>\n

In den vergangenen Monaten ist die Bahn schon \u00f6fter negativ aufgefallen. Vor zwei Wochen legte ein Mitglied des Chaos Computer Clubs (CCC) in Hannover eine gravierende Sicherheitsl\u00fccke<\/a> im neuen WLan-Netz der ICE-Z\u00fcge offen. Die Bahn reagierte \u00fcberraschend schnell<\/a>.<\/p>\n

Disclaimer: Wir haben den Beispieldatensatz nach Abschluss der Recherche vernichtet.<\/em><\/p>\n

————————–<\/p>\n

Simon W\u00f6rpel ist Redakteur bei\u00a0CORRECTIV.RUHR.\u00a0Die Redaktion finanziert sich ausschlie\u00dflich \u00fcber Spenden und Mitgliedsbeitr\u00e4ge. Ihr Anspruch: Missst\u00e4nde aufdecken und unvoreingenommen dar\u00fcber berichten. Wenn Sie CORRECTIV.RUHR unterst\u00fctzen m\u00f6chten, werden Sie F\u00f6rdermitglied des Recherchenzentrums correctiv.org. Informationen finden Sie unter correctiv.org<\/a><\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

Eine Online-Sicherheitsl\u00fccke offenbart, wie wenig sich die Deutsche Bahn um die Daten ihrer Kunden k\u00fcmmert. Nicht nur auf der Schiene f\u00e4llt die Bahn regelm\u00e4\u00dfig mit maroder Infrastruktur auf. Auch im … \u201eSicherheitsl\u00fccke bei der Bahn: Firmenkundendaten frei im Netz verf\u00fcgbar.\u201c <\/span>weiterlesen<\/a><\/p>\n","protected":false},"author":61,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2729,618],"tags":[6414,434,1181],"class_list":["post-36452","post","type-post","status-publish","format-standard","hentry","category-reisen","category-verkehr","tag-correctiv-ruhr","tag-deutsche-bahn","tag-sicherheitslucke"],"_links":{"self":[{"href":"https:\/\/www.schiebener.net\/wordpress\/wp-json\/wp\/v2\/posts\/36452","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.schiebener.net\/wordpress\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.schiebener.net\/wordpress\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.schiebener.net\/wordpress\/wp-json\/wp\/v2\/users\/61"}],"replies":[{"embeddable":true,"href":"https:\/\/www.schiebener.net\/wordpress\/wp-json\/wp\/v2\/comments?post=36452"}],"version-history":[{"count":0,"href":"https:\/\/www.schiebener.net\/wordpress\/wp-json\/wp\/v2\/posts\/36452\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.schiebener.net\/wordpress\/wp-json\/wp\/v2\/media?parent=36452"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.schiebener.net\/wordpress\/wp-json\/wp\/v2\/categories?post=36452"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.schiebener.net\/wordpress\/wp-json\/wp\/v2\/tags?post=36452"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}