ÖPNV 2.0: Mit dem mobilen Ticket zum ausgefeilten Bewegungsprofil
Ein Hacker fand eine Schwachstelle in einem Backend-System für die Fahrtenabrechnung per Handy in Osnabrück und entdeckte eine massive Vorratsdatenspeicherung.
(Bild: Daniel Jedzura / Shutterstock.com)
Die Stadtwerke Osnabrück bewerben ihre App Yaniq mit dem Angebot "Busfahren zum Bestpreis". Mit einem Wisch könnten sich Nutzer einchecken und dann ein kontaktloses Rundum-sorglos-Ticket genießen. Mit dem Gewinn an Bequemlichkeit gehe aber der weitgehende Verlust der Privatsphäre einher, warnte ein IT-Experte mit dem Pseudonym "Kantorkel" auf dem virtuellen Hackertreffen remote Chaos Communication Congress (rC3). Im Hintergrund finde eine "Vorratsdatenspeicherung für den Öffentlichen Personennahverkehr" statt.
Mehrere Verkehrsverbünde testen momentan sogenannte Check-in / Be-out-Systeme (CiBo), um den Nutzern ein einfacheres Navigieren durch die bestehenden Tarifdschungel zu gestatten. Einschlägige Apps wie Yaniq ermöglichen ein automatisches Bezahlen per Smartphone. Kantorkel gelang es, sich aufgrund einer Schwachstelle in das Backend-System der Osnabrücker Anwendung einzuloggen und nach der Anlage eines Testnutzers ungestört umzusehen. Es habe sich zwar um eine Produktionsumgebung vor dem offiziellen Betrieb gehandelt. Dennoch seien damit tiefe Einblicke in die Grundzüge des Verfahrens möglich geworden.
Datenberge
Überraschend fand der Hacker vor allem, "wie viele Daten dieses System haben möchte". So werde einmal der Standort der Nutzer über verteilte Bluetooth-Beacons in den Bussen verfolgt, über die Anwender automatisch beim Verlassen der Fahrzeuge ausgecheckt werden. Gleichzeitig würden aber auch GPS-Koordinaten erhoben und "für zehn bis 15 Minuten nach dem Aussteigen noch verfolgt". Diese zweite Kategorie von Geodaten werde "auch später noch nach Hause telefoniert".
Die App wisse also etwa, "wo ihr wohnt", wenn das traute Heim in rund einer Viertelstunde erreichbar sei, erläuterte Kantorkel. Dies werde klar, wenn sich jemand relativ zügig in ein Gebäude hineinbewege, in dem sich sonst nicht allzu viele andere Menschen befänden. Selbst Bewegungen innerhalb der mutmaßlichen Wohnung würden noch registriert. Mit unterschiedlichen, mit einer speziellen "Konfidenz" bewerteten Zuverlässigkeit sei im Backend-Bereich etwa erkennbar, ob ein User vermutlich spazieren gehe oder Fahrrad fahre.
(Bild: rC3 media.ccc.de, Lizenz CC by 4.0)
Ob und wie lange diese sensiblen und aussagekräftigen Informationen in der aktuellen Version gespeichert werden, konnte der Aktivist nicht sagen. In einer Frage-Antwort-Liste der Stadtwerke zu Yaniq heißt es: "Deine personenbezogenen Daten werden solange gespeichert, wie dies für die Erfüllung dieser Zwecke erforderlich ist" und keine anderweitigen gesetzlichen Aufbewahrungspflichten oder gesetzlichen Rechtfertigungsgründe bestünden. In der Regel würden persönliche Informationen noch bis zehn Jahre nach Vertragsende vorgehalten. Beim Beenden des Vertragsverhältnisses lösche man Nutzungsdaten spätestens nach zwei Jahren.
Visualisierungen
Die Stadtwerke konnten dem Hacker zufolge in der von ihm begutachteten Version über eine Übersicht zu "Trips & Tickets" etwa auch eine pseudonymisierte "Universal-ID", den Zeitpunkt von Aktivitäten, den Endhalt sowie Zwischenhaltestellen sowie die fälligen Fahrpreise einsehen. Auch ein Betrugsscore werde eingeblendet. Generell würden Infos über die genutzten Mobiltelefone, die Verbindungsqualität und verschiedene Check-in/out-Events gesammelt, die auch anonymisiert exportiert werden könnten. Ein Backend-Nutzer könne sich zudem Daten zu den Beacons ausgeben lassen bis hin zu deren verbleibender Akku-Kapazität.
Über eine Ansicht zu "verdächtigen Bewegungen" werde für jeden Nutzer eine Zeile in einer Tabelle angelegt, in der die App-Nutzung für jede Stunde eines Tages angezeigt werde, führte Kantorkel aus. So sei etwa erkennbar, dass eine Person nach einer relativ kurzen Nach bereits frühmorgens wieder eingecheckt habe und wohin sie sich bewegt habe. Dies werde auf einer Karte visualisiert. Kantorkel gab aber auch zu bedenken, dass im Produktivsystem weniger Nachrichten erhoben werden könnten.
(Bild: rC3 media.ccc.de, Lizenz CC by 4.0)
Laut den Stadtwerken werden neben Identifikationsdaten etwa vertragsspezifische Angaben verarbeitet, wobei "Fahrtdaten" pseudonymisiert seien. Dazu kämen "Gültigkeitsmerkmale" wie Einstiegshaltestelle, Daten der Fahrt, "Datum und Uhrzeit des Be-out", Linien und Umstiege sowie "IT-Nutzungs- und Protokolldaten. Man erhebe ferner "weitere personenbezogene Daten wie die IP-Adresse, Opt-ins und die Bonität zum Zeitpunkt der Abfrage bei der Auskunftei Creditreform.
Einfachere Lösungen
Kantorkel verwies darauf, dass Tickets irgendwann bezahlt werden müssten und die Pseudonymisierung daher nicht ständig aufrechterhalten werden könne. Für die Abrechnung sei eine "direkte Verbindung" zu der betreffenden Person nötig. Auf GPS setze der Anbieter wohl zusätzlich, um Missbrauch zu erschweren. Es sei möglich, die App abzuschalten, "wenn man ausgestiegen ist". Welchen Einfluss dies auf den Abrechnungsvorgang habe, sei aber unklar.
Der Fachmann appellierte an Yaniq-Nutzer, ihre Datenhistorie bei den Stadtwerken abzufragen, um Licht ins Dunkel der tatsächlichen Speicherungen zu bringen. Es wäre sicher möglich, das Ganze datensparsamer anzulegen. Er sei generell für einfachere Tarife etwa mit einer Tageskarte für zwei Euro oder einen umlagefinanzierten ÖPNV, wie ihn die Gruppe "Einfach einsteigen" am Beispiel Bremens fordere. Es sei auch nicht die erste Lücke gewesen, die er bei Mobile-Ticketing-Apps untersucht habe. Zumindest sei im Fall Osnabrück der Meldeprozess bei den Stadtwerken, Siemens und dem Hamburger Ticketing-Lösungsanbieter eos.uptrade "angenehm unaufgeregt" verlaufen. Der zuständigen Datenschutzbehörde habe er ebenfalls Bescheid gegeben.
(jk)
