Problemfall E-Ticket: Die Daten gibt es à la carte

Der Fahrgastverband IGEB kritisiert ein Datenleck bei der „fahrCard“. Die speichert ein Bewegungsprofil – und kann praktisch von jedem ausgelesen werden.

Ist das elektronische Ticket sauber? Nein, da: hässliche Datenspuren! Foto: dpa

Kurz vor Jahresende erwischt es die Unternehmen im Verkehrsverbund Berlin-Brandenburg (VBB) auf dem falschen Fuß: Wie der Berliner Fahrgastverband IGEB herausgefunden hat, gibt es ein beträchtliches Datenleck bei der elektronischen „fahrCard“, mit der bereits alle Abo-Kunden von BVG und S-Bahn unterwegs sind. Genauer: Die „fahrCard“ speichert ein Bewegungsprofil ihrer BesitzerInnen – und praktisch jeder kann es mit überschaubarem Aufwand auslesen.

In einem Artikel der kommenden Ausgabe des IGEB-Magazins Signal wird beschrieben, wie das funktioniert: Mit einer frei downloadbaren App wird jedes moderne Android-Handy zum Kartenlesegerät. Führt man es an der scheckkartengroßen „fahrCard“ vorbei, zieht es sich berührungslos die darauf gespeicherten Daten herunter – dazu gehören die letzten zehn „Kontrollpunkte“, an denen die Karte registriert wurde, mit Datum und Uhrzeit. Bei den Kontrollpunkten handelt es sich um die in vielen BVG-Bussen vorhandenen Lesegeräte, deren Benutzung aber noch freiwillig ist.

Nur deswegen dürfte sich der unerwünschte Datenabfluss noch sehr in Grenzen halten: In U- und S-Bahnen gibt es solche festen Lesegeräte nicht, und erst wenn alle Busse damit ausgestattet sind, wird die elektronische Selbst-Kontrolle zur Pflicht. Das wird laut BVG ab dem kommenden Frühjahr der Fall sein.

Trügerische Sicherheit

Skandalös am Leck ist, dass die beteiligten Unternehmen immer ausdrücklich betont haben, das System sei vollkommen sicher: „Es ist weder technisch noch organisatorisch möglich, sogenannte Bewegungsprofile auf der Karte oder im System zu speichern“, heißt es in einer Infobroschüre des VBB, und weiter: „Bei der Kontrolle wird Ihre persönliche Chipkartennummer nur gegen eine Sperrliste geprüft, um festzustellen, ob Ihre Fahrtberechtigung noch gültig ist.“

Diese Information ist – ob wissentlich oder nicht – schlichtweg falsch. Dabei hatte der Fahrgastverband in den vergangenen Jahren wiederholt Bedenken zum Datenschutz geäußert. IGEB-Sprecher Jens Wieseke: „Wir haben den VBB mehrmals deswegen angesprochen, und jedes Mal wurde zurückgefragt, wie wir denn dazu kämen, an der Sicherheit des Systems zu zweifeln.“

Die BVG versucht, der Angelegenheit die Dramatik zu nehmen: Man befinde sich bei der Kontrolltechnik immer noch in einer „Pilot- und Testphase“, dabei habe sich „vor wenigen Wochen herausgestellt, dass die fest montierten Lesegeräte in den Bussen die nun vom Fahrgastverband genannten Daten auf die Karten schreiben“, heißt es in einer schriftlichen Erklärung. „Dies ist nicht vorgesehen und nicht von uns beabsichtigt.“ Man habe den Hersteller sofort aufgefordert, diesen Fehler „schnellstmöglich zu beheben“, außerdem würden die Lesegeräte vorläufig abgeschaltet. „Erst nach der endgültigen Fehlerbehebung“ gehe das System wieder in Betrieb.

Aber auch für den Fall, dass die leicht ausspähbaren Datenspuren auf den Plastikkarten der KundInnen verschwinden sollten, ist man beim IGEB mit der Gesamtsituation nicht glücklich. Schließlich sei es vorstellbar, dass das E-Ticket-System an anderer Stelle die erhobenen Daten speichere – vielleicht sogar solche, die bei mobilen Kontrollen entstehen. Diese werden derzeit zumindest nicht auf der Karte festgehalten.

„Was im Hintergrundsystem passiert, können wir nicht einsehen“, heißt es in dem Signal-Artikel. „Die Infrastruktur, um das Bewegungsprofil von jeder Kontrolle im Hintergrundsystem zu speichern, auf das Dritte Zugang besitzen, ist vorhanden. Es ist davon auszugehen, dass diese auch genutzt wird.“

Keine gesetzlichen Regeln

Jens Wieseke kritisiert, dass der Datendurst der privaten Unternehmen, die das E-Ticket-System betreiben, nicht durch klare gesetzliche Regeln begrenzt werde. Besser gelöst sei dies etwa beim Autobahn-Maut-System „Toll Collect“: Da lege ein Bundesgesetz fest, wer wie lange die erhobenen Daten speichern dürfe. „Warum wird das hier nicht gemacht?“, fragt der IGEB-Sprecher.

Unklar ist auch, ob andere Unternehmen im VBB betroffen sind. In manchen Brandenburger Landkreisen sind Busse mit derselben Karten-Lesetechnik wie die BVG ausgestattet, und möglicherweise wird dort auch bereits routinemäßig kontrolliert. Man habe alle Verbundmitglieder sofort informiert, sagte eine VBB-Sprecherin zur taz. Diese überprüften jetzt die Geräte in ihren Fahrzeugen.