Sicherheitsprobleme beim Freundschaftsticket
Das Angebot eines kostenlosen Freundschaftspasses, der an junge Erwachsene ausgegeben wurde, wird im Nachhinein kontrovers diskutiert. Angeboten wurden in Deutschland 30.000 kostenlose Bahnfahrkarten für junge Erwachsene, die gerne Frankreich bereisen möchten. Doch abgesehen von stundenlangen Server-Problemen aufgrund des großen Andrangs, sind nun auch technische Unzulänglichkeiten beim Buchungsprozess und Sicherheitsprobleme bei dem Passwort-Reset bekannt geworden.
So konnten IT-Sicherheitsforscherinnen und -forscher der Gruppe Zerforschung über eine nicht gesicherte Schnittstelle weiterhin Tickets buchen, obwohl das Kontingent bereits erschöpft war. Dieser Weg stand prinzipiell jedem offen, der technisch versiert ist.
Zudem entdeckten sie eine Sicherheitslücke in dem Mechanismus zum Zurücksetzen von Passwörtern. Über diese hätten Kriminelle die Nutzerinnen und Nutzer nach Aussage der Sicherheitsforscher auf eine gefälschte Webseite lenken und personenbezogene Daten erbeuten können.
Und auf einem Portal der EU-Kommission, auf dem sich junge Menschen für kostenfreie Interrail-Tickets bewerben können, stießen sie am Ende sogar auf ungesicherte personenbezogene Daten von Hunderttausenden jungen Bewerberinnen und Bewerbern.
Der Freundschaftspass war anlässlich des 60. Jahrestages der Unterzeichnung des Élysée-Vertrags zwischen Deutschland und Frankreich von den Verkehrsministern der Länder Volker Wissing (FDP) und Clément Beaune (LREM) initiiert worden. Er ermöglicht jungen Erwachsenen im Alter zwischen 18 und 27 Jahren, einen Monat lang kostenlos das jeweils andere Land mit der Bahn zu bereisen.
Unendlich viele Freikarten
Wie die IT-Expertinnen und Experten am Montag in einem Blog-Eintrag schrieben, entdeckten sie eine ungesicherte Schnittstelle, über die sie theoretisch unendlich viele gültige kostenlose Fahrkarten generieren konnten – ungeachtet der Begrenzung auf 30.000 Stück. Denn Interessenten, die den Buchungsprozess zwar pünktlich beginnen, aber nicht mehr abschließen konnten, erhielten vom System eine E-Mail mit individuellem Link, über den man die Registrierung abschließen konnte.
Zerforschung gelang es mit wenigen Code-Schnipseln, einen solchen Link selbst zu generieren, indem sie dem System vorgaben, sich erfolgreich registriert zu haben. Mit jedem generierten Link konnte ein weiteres Ticket gesichert werden. Der Prozess konnte Zerforschung zufolge unbegrenzt oft wiederholt werden.
Passwort-Reset in die Falle
Gefährlich hätte es beim Passwort-Reset werden können: Auf der Buchungsseite gab es die Möglichkeit, das Passwort zurücksetzen zu lassen. Hatten Interessenten ihr Passwort vergessen, verschickte das System – wie auf vielen anderen Webseiten auch – eine Mail mit Link auf eine Internetseite, auf der das Passwort neu gesetzt werden konnte.
Nutzer berichteten aber davon, dass dieser Mechanismus nicht funktionierte. Der Link führte ins Nichts, unter der Adresse war keine Webseite registriert. Dieser Umstand war nicht nur ein Problem, weil Nutzer nicht mehr an ihre Ticketbuchung gelangten. Denn Kriminelle hätten die Webadresse registrieren und die Nutzer auf eine beliebige Seite leiten können, um an ihre Daten zu gelangen oder Schadsoftware auszuliefern.
Dass es nicht so weit kam, verhinderte ein Sicherheitsforscher, der die Adresse kurzerhand selbst registrierte und dort eine harmlose Testseite schaltete. Bis Dienstag sei die Seite mehr als 5000-mal aufgerufen worden.
Keine Ansprechpartner
Die Sicherheitsforscher wollten ihre Erkenntnisse den Verantwortlichen mitteilen, damit diese die Lücken schließen können. So ist es in IT-Sicherheitskreisen üblich. Es habe sich aber als außergewöhnlich schwierig herausgestellt, in Kontakt mit jemanden zu treten, der die (sicherheitsrelevanten) Probleme der Seite hätte lösen können. Zerforschung habe Hinweise an eine involvierte belgische Werbeagentur, die Deutsche Bahn, das Bundesverkehrsministerium (BMDV) sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) geschickt. Doch zwei Tage lang habe keine Stelle geantwortet.
Erst nach Presseanfragen durch Journalisten bei den Pressestellen der Beteiligten sei die Lücke bei der Ticketbestellung am Donnerstagabend geschlossen worden. Eurail versicherte gegenüber Zerforschung außerdem, dass nun nach fälschlich ausgestellten Pässen gesucht werde.
Überlastete Server
Doch beim Freundschaftspass lief noch mehr schief: Die begrenzte Anzahl an Fahrkarten wurde an diejenigen vergeben, die als erstes buchen konnten. Um 10 Uhr am Montag vergangener Woche startete die Vergabe und – wie zu erwarten – versuchten zahlreiche Interessenten gleichzeitig zu buchen. Die Server waren auf diesen Ansturm nicht vorbereitet – wie so oft bei öffentlichen Projekten. Das BMDV sprach von insgesamt 5,9 Millionen Aufrufen der Seite “in kurzer Zeit”. Berichten auf Social-Media-Plattformen zufolge waren bereits wenige Sekunden nach Verkaufsstart die Server überlastet und Registrierungen daraufhin stundenlang nicht mehr möglich. Interessierte bekamen eine Fehlermeldung präsentiert. Verkehrsminister Wissing hatte zuvor noch einen reibungslosen Ablauf versprochen.
Weitere Kritik wurde laut, weil prinzipiell nur junge Menschen das Ticket erhalten konnten, die an einem Montagmorgen Zeit hatten, um die Buchungsseite immer wieder neu zu laden. Wer zu dieser Tageszeit arbeiten oder den Ausbildungsbetrieb, die Schule oder die Uni besuchen musste, hatte keine Chance, an eine der kostenlosen Fahrkarten zu gelangen.
Keiner ist schuld
Das Bundesverkehrsministerium hatte nach der Aktion versucht, den Freundschaftspass als Erfolg darzustellen. Am Montagnachmittag sprach die Behörde via Twitter aber indirekt die Probleme an, schob die Schuld daran, aber auf die beauftragten Unternehmen. Man habe “auf den Vertriebsprozess” keinen Einfluss gehabt. “Die Vorgänge heute beweisen, wie viel auch im IT-Bereich von allen beteiligten Unternehmen noch zu tun ist.” Das Ministerium wünsche aber nichtsdestotrotz allen, die sich ein Ticket sichern konnten, eine gute Reise.
Die Deutsche Bahn erklärte, das Projekt an Eurail übertragen zu haben – Eurail ist das Partnerunternehmen der europäischen Bahngesellschaften für Interrail-Tickets. Dieses wiederum hatte das Projekt der belgischen Marketingagentur MCI Brussels übergeben, die auch die Server betreibt.
Sicherheitslücke legt persönliche Daten offen
Im Laufe ihrer Recherchen entdeckten die IT-Experten eine weitere Sicherheitslücke – diesmal auf einem Interrail-Portal der EU-Kommission. Für die Entwicklung der Seite war dieselbe Agentur verantwortlich wie bei dem Freundschaftspass. Auf der Seite können sich 18-jährige EU-Bürgerinnen und Bürger für ein kostenloses Interrail-Ticket bewerben.
Durch eine Sicherheitslücke auf der Seite konnten sich die Forschenden Nutzerkonten mit Admin-Rechten anlegen und die Registrierungen einsehen: Dort waren die persönlichen Daten von rund 245.000 Bewerberinnen und Bewerbern gespeichert – inklusive Name, Mail-Adresse, Herkunftsland und Bestelldetails.
“All diese persönlichen Daten lagen quasi offen im Internet und waren mit wenig Aufwand und Vorwissen abrufbar”, kritisierte Zerforschung. Die Experten informierten die Verantwortlichen und die Lücke sei innerhalb einer Stunde geschlossen worden. Nun sollen Sicherheitstests stattfinden und alle Schritte unternommen werden, die die Datenschutzgrundverordnung (DSGVO) vorschreibt. (hcz)