Sie sind hier: Home | News | Internet & Netzwelt | Unsicher: Deutsche Bahn nennt Kundenpasswort am Telefon

Millionen Konten auf der Bahn-Webseite sind ungesichert

Unsicher: Deutsche Bahn nennt Kundenpasswort am Telefon

Alle Nutzer, die sich auf der Webseite der Deutschen Bahn angemeldet haben, sollten dringend ihre hinterlegten Daten überprüfen: Jeder, der Name, Adresse und Geburtsdatum kannte, konnte mithilfe der Hotline in fremde Accounts einbrechen, wie netzwelt herausgefunden hat.

Die Deutsche Bahn geht mit Kundendaten groß fahrlässig um. (Bild: DB AG / Volker Emersleben)
Die Deutsche Bahn geht mit Kundendaten grob fahrlässig um. (Bild: DB AG / Volker Emersleben)

Inhaltsverzeichnis

  1. 1Registrierte Besucher
  2. 2Mangelhafte Sicherheit
  3. 3Mangelhafte Verifikation
  4. 4Stellungnahme der Bahn
  5. 5Fazit
Werbung

Die Deutsche Bahn ist eines der größten Unternehmen des Landes und bewegt täglich Millionen von Fahrgästen. Viele von ihnen nutzen dabei die Bahn-Webseite, um Fahrkarten bequem von zu Hause aus zu buchen. Die Bahn fördert das Verhalten aktiv, zum Beispiel mit der neuen Tickets-App.

Registrierte Besucher

Obwohl sich eine Fahrkarte grundsätzlich auch ohne Registrierung buchen lässt, dürften sich viele Besucher bei der Bahn-Webseite angemeldet haben: Über ein eigenes Konto brauchen sie nicht bei jeder Buchung erneut ihre persönlichen Daten einzugeben. Neben Adresse und Telefonnummer merkt sich www.bahn.de auch Zahlungsdaten (Konto- oder Kreditkarten-Nummer), den BahnCard-Status und die Vorlieben bei der Sitzplatzwahl. Allerdings sind alle diese Daten nur unzureichend gesichert, wie netzwelt herausgefunden hat.

Jeder Angreifer, der Name und Adresse einer anderen Person kannte, konnte beim "Online Service" unter 01805-996644 anrufen und angeben, seine Kontodaten vergessen zu haben. Die Mitarbeiter der Hotline haben in über zehn Fällen, in denen netzwelt angerufen hat, anhand der genannten Daten das betroffene Bahn.de-Konto aus dem System herausgesucht - das machten die Mitarbeiter ganz von alleine, ohne dass der Anrufer den Benutzernamen selbst nennen musste. Danach haben sie ein temporäres Kennwort vergeben, dass direkt am Telefon genannt wurde.

Mangelhafte Sicherheit

Netzwelt ist es gelungen, auf diesem Weg mehrfach Zugriff auf ein Bahn.de-Konto zu erhalten, das zu Testzwecken eingerichtet wurde. Neben einem lückenlosen Bewegungsprofil aller Bahnreisen, die man online gebucht hat, sind im Bahn.de-Konto auch Zahlungsdaten und andere persönliche Informationen für Angreifer spielend leicht einzusehen - und das, obwohl die Online-Systeme der Deutschen Bahn beziehungsweise der Tochter "DB Vertrieb" eigentlich für ihre Sicherheit zertifiziert werden.

In einigen Fällen hat der telefonische Kundendienst "zum Abgleich der Daten" noch das Geburtsdatum oder die aktuelle Anschrift abgefragt, eine weitergehende Verifikation der Identität des Anrufers erfolgte allerdings nicht. Besonders ärgerlich ist, dass an die im Bahn-Konto hinterlegte E-Mail-Adresse nicht einmal eine Benachrichtigung gesendet wurde, wenn der Kundendienst ein neues Kennwort gesetzt und es einer irgendjemandem am Telefon mitgeteilt hat.

Mangelhafte Verifikation

Das Prozedere der Bahn ist zwar praktisch, wenn man sein Passwort vergessen hat und auf die hinterlegte E-Mail-Adresse auch nicht mehr zugreifen kann - es öffnet dem Missbrauch aber Tür und Tor. Selbst ein Bucher-Konto im bahn.corporate-Programm der Deutschen Bahn, mit dem Unternehmen Fahrkarten für ihre Mitarbeiter buchen, konnte mithilfe der Bahn-Hotline geknackt werden.

Auch andere Firmen bieten ihren Kunden eine einfache Möglichkeit, ihr Kennwort zurückzusetzen - zu diesem Zweck ist aber fast immer eine weitergehende Identifikation notwendig. So hat es sich mittlerweile etabliert, ein neues temporäres Kennwort per SMS zuzustellen.

Stellungnahme der Bahn

Netzwelt hat die Sicherheitslücke der Deutschen Bahn AG mitgeteilt. Daraufhin erklärte ein Sprecher:

"In der Vergangenheit hat die DB als Kundenservice telefonisch ein temporäres Kennwort für den Bahn.de-Account genannt. Interne Richtlinien verbieten jedoch klar eine gemeinsame Herausgabe von Benutzernamen und temporärem Kennwort durch den Call-Center-Mitarbeiter. Dieses Verhalten ist vorschriftswidrig."

Ferner wurde die Sicherheitslücke nun offenbar geschlossen:

"Um jedes Restrisiko auszuschließen, hat die DB unmittelbar den Service der Kennwort-Zurücksetzung per Telefon eingestellt. Zukünftig verweisen die Mitarbeiter der Kundenhotline auf www.bahn.de, wo in einem standardisierten Prozess ein neues Kundenkennwort angefordert werden kann. Wie bei den Kundenhotlines anderer Unternehmen auch, wurde der Anrufer in der Vergangenheit per Sicherheitsabfrage verifiziert", so der Sprecher.

Fazit

Wenn die Bahn Benutzernamen und Passwörter am Telefon mitteilt, ist potentiell jedes Bahn.de-Konto unsicher. Das Verfahren, das offensichtlich der Kundenfreundlichkeit dienen sollte, führte alle anderen Sicherheitsmaßnahmen ad absurdum. Vorbildlich ist dagegen, dass die Lücke nun schnell geschlossen wurde, nachdem die Deutsche Bahn durch netzwelt von dem Problem erfahren hat.

Kommentieren