Titelthema Sicherheit und Datenschutz

Datenschutzalptraum VBB-fahrCard

Fahrkarte mit Facebook-Status

Vertrauen ist gut, Kontrolle ist besser. Deshalb muss man als Kunde nach dem Kauf der Fahrberechtigung einen Nachweis, auch „Fahrkarte” genannt, mit sich führen.

Diese wird vor, während oder auch mal nach der Fahrt von Mitarbeitern der Verkehrsunternehmen kontrolliert. Für das Unternehmen reicht das Wort des Kunden, er habe für die Fahrt bezahlt, also nicht aus.

U-Bahnhohf mit Fahrgästen
Der Fahrgast im Fokus. Auf ihn sind Kameras gerichtet. Seine Daten werden gesammelt. Aber wozu? Und welche Probleme und Gefahren sind damit verbunden? Unser Themenschwerpunkt Sicherheit und Datenschutz. Foto: Raul Stoll, Bearbeitung: Holger Mertens

Nun hat sich die Welt weiterentwickelt, technisiert, digitalisiert. Das macht auch vor den Fahrausweisen nicht halt. Statt Papierschnipsel durch die Gegend zu tragen, soll die Fahrberechtigung nun also elektronisch gespeichert werden. Das ist ersteinmal auch nicht schlimm. Trotzdem stellt sich die Frage: Was wird da außer der reinen Fahrberechtigung noch gespeichert? Persönliche Daten?

Bereits eine ID, eine eindeutige Identifikationsnummer, reicht aus, um die Frage nach dem Datenschutz aufzuwerfen. Immer wenn eine Überprüfung durchgeführt wird, wird die ID fleißig ausgetauscht. Gemeinsam mit den Informationen, wann,

ANZEIGE www.eprimo.de

wo und wie häufig diese ID ausgelesen wurde, könnte sie eine bei allen Unternehmen äußerst begehrte Informationsquelle bilden. Denn bereits nach wenigen Kontrollpunkten ließe sich damit schon ein ziemlich gutes Fahrprofil über den Eigentümer erstellen.

Hinzu kommt, dass diese ID keinesfalls anonym ist. Sie ist vielmehr eine Kartennummer. Abgelegt im System und eindeutig Ihrem Abo und Ihrer Person zugeordnet.

Nur ein Horrormärchen?

Fahrcard
Sie benutzen die neue elektronische „fahrCard”? Gut! Jedoch nicht für Sie, aber für die Verkehrsunternehmen. Denn anonym ist sie wirklich nur für den Nutzer. Foto: IGEB

In der VBB-Werbebroschüre ist zum Thema Sicherheit Folgendes zu lesen:

„[…] Kann mein Verkehrsunternehmen oder der VBB nun alle meine Fahrten nachverfolgen?

Nein, es ist weder technisch noch organisatorisch möglich, sogenannte Bewegungsprofile auf der Karte oder im System zu speichern. […]”

Diese Aussage ist schlichtweg falsch! Die Karten basieren auf der sogenannten VDV-Kernapplikation E-Ticket. In deren Spezifikationen sind ausdrücklich Datenfelder für allerlei persönliche Daten sowie einer gesamten Fahrtenhistorie vorgesehen – für die Karte, für die Schnittstellen zum Auslesen und Schreiben sowie selbstverständlich vor allem für das Hintergrundsystem.

„[…] Bei der Kontrolle wird Ihre persönliche Chipkartennummer nur gegen eine Sperrliste geprüft, um festzustellen, ob Ihre Fahrtberechtigung noch gültig ist. Es werden keine personenbezogenen Daten gespeichert. […]”

Unwahrscheinlich. Denn hier geht es ums Geld. Die Karte kann vom Verkehrsunternehmen so hoch verschlüsselt werden, wie es will. Das schützt aber vor Clonen nicht. Clone sind 1:1-Kopien der verschlüsselten Karten, die beim Auslesen durch Kontrollgeräte nicht vom Original unterschieden werden können.

Um Clone zu erstellen, muss man keine Verschlüsselung knacken. Unbeschriebene Karten-Rohlinge beispielsweise aus Fernost übernehmen den gesamten verschlüsselten Inhalt samt Karten-Produktions-ID von einer beliebigen Original-Karte. In Anbetracht des hohen Fahrkartenwertes einer Jahreskarte ist der Anreiz für solche kriminellen Handlungen durchaus gegeben.

Kundenterminal
Mit diesen stationären Geräten in Kundenbüros soll der Fahrgast kontrollieren können, was auf seiner Fahrcard gespeichert ist. Die Felder „Besitzer“ und „Geboren“ waren in einer früheren Version nicht zu sehen. Eine ID ist mit Sicherheit vorhanden, wird aber nicht angezeigt. Was ist außer diesen Feldern noch gespeichert? Foto: IGEB

Doch wie kann ein Verkehrsunternehmen dem vorbeugen? Da die Karten äußerlich keinerlei Sicherheitsmerkmale tragen, ist die optische Prüfung bei Kontrollen ungeeignet. Da hilft nur, Karten-IDs bei jedem Lesevorgang mit Ort und Zeit zu speichern, daraus ein Bewegungsprofil zu erstellen und bei ungewöhnlich häufiger Nutzung oder unmöglichem Fahrverhalten auf mehrere Karten mit derselben ID zu schließen und diese dann zu sperren. Betroffen sind dann sowohl die Kopien als auch das Original, dessen Eigentümer nicht einmal wissen muss, dass seine Karte für illegale Kopien verwendet wurde. Das Auslesen der Karten erfolgt schließlich per Funk.

Das allein könnte aber erklären, warum ungültige Karten bei der Kontrolle sofort eingezogen werden. Und warum abgelaufene Karten vom Kunden wieder zurück geschickt werden müssen, obwohl Aufwand und Porto die Kosten der Karte weit übersteigen. Es erklärt auch, warum der Verlust der Karte beim Kunden mit jeweils unverschämten 20 Euro (10 beim ersten Mal) zu Buche schlägt.

„[…] Die Daten auf dem Chip sind grundsätzlich nur von Mitarbeitern der Verkehrsunternehmen mit speziellen Lesegeräten lesbar. […] Kunden können in Verkaufsstellen die auf dem Chip gespeicherten Daten an speziellen Kundeninformationsterminals (Infoterminals) auslesen. […]”

Und das ist ein riesiges Problem. Durch die Verschlüsselung ist es dem Fahrgast nicht möglich, ungefiltert auf die Datensätze auf der Karte zu schauen. Was man davon sehen kann und was nicht, obliegt immer der vollen Kontrolle der Unternehmen.

Vertrauensfrage

Doch kann man den Verkehrsunternehmen trauen? Zumindest Skepsis ist angebracht. In der Diskussion um Beibehaltung oder Abschaffung des ständigen Buskneelings argumentierte die BVG teilweise mit nicht nachvollziehbaren Angaben wie der Behauptung, es gäbe keine einzige Beschwerde dazu, obwohl die IGEB von mehreren Beschwerden wusste. Als unredlich empfanden viele Fahrgäste auch eine BVG-Fahrgastbefragung, deren Ergebnisse die BVG als Votum der Berliner gegen Polstersitze und für Hartschalensitze in der U-Bahn wertete, obwohl bei der Umfrage ausschließlich Hartschalensitze zur Auswahl standen.

Kann man den Unternehmen also glauben, wenn sie behaupten, es werden mithilfe der Fahrcard keinerlei personenbezogene Daten erhoben, obwohl das möglich ist? Werden sie sich auch einer Erhebung durch Polizei oder Verfassungsschutz widersetzen (dürfen)? Wer kontrolliert die Verkehrsunternehmen? Die Fahrgäste können es nicht überprüfen. Und das macht uns Sorge.



Die FahrCard-Probleme im Überblick

Verschlüsselung der Karte

Alle Unternehmen können die Daten auf der Karte unkontrolliert lesen und schreiben. Kriminelle müssen für ihre Machenschaften die Verschlüsselung nicht knacken. Der einzige, der durch die Verschlüsselung ausgesperrt wird, ist der Kunde. Bleibt die Frage: Wozu? Üblich wäre eigentlich, die Daten klar zu speichern und zusätzlich eine verschlüsselte Kontrollnummer, die die Richtigkeit der Daten belegt.

Speicherung von IDs bei Kontrollen

Falls die (eindeutig einer Person zuordenbaren) Kartennummern systembedingt als Bewegungsprofil vorliegen müssen, um Kartenkopien bekämpfen zu können, wer hindert die Unternehmen dann am letzten Schritt, diese Information personenbezogen zu verwenden? Die Daten sind da, die Versuchung ist groß und eine Kontrolle nicht vorhanden.

Intransparenter Datenaustausch

Bei jedem Datenaustausch zwischen Karte und Lesegerät können beliebig Daten gelesen, geschrieben und gelöscht werden, ohne dass einer der Beteiligten etwas davon mitbekommen muss. So ließe sich über Nacht eine neue Eigenschaft wie beispielsweise „guter/schlechter Kunde” einführen.

Intransparente Infrastruktur

Selbst wenn auf der Karte außer der ID nichts weiter gespeichert werden würde, so ließen sich weitere Daten auf den Kontrollgeräten mitführen. Beispielsweise könnte man dem Kontrolleur beliebige Details über den Kunden anzeigen, die zur gelesenen Karten-ID passen. „Raucher”, „Querulant”, „nimmt gern Schwarzfahrer mit” … Diese Reihe ließe sich beliebig fortsetzen.



Der VBB informiert seine Kunden in einer Broschüre folgendermaßen

„[…]

Welche Daten werden auf der VBB-fahrCard gespeichert?

Flyer über die Fahrcard
VBB

Auf der VBB-fahrCard werden nur Daten gespeichert, die bisher auch auf dem Papierticket oder der Kundenkarte enthalten sind. Bei unpersönlichen Abonnements werden das Tarifprodukt, der tarifliche Geltungsbereich, die Gültigkeit und die Kartennummer gespeichert. Bei persönlichen Abonnements kommen Ihr Name sowie der Aufdruck eines Lichtbildes hinzu. Kundenkarten sind somit nicht mehr notwendig und entfallen. Über die gespeicherten Daten werden Sie beim Versand der VBB-fahrCard von Ihrem Verkehrsunternehmen informiert. Darüber hinaus haben Sie die Möglichkeit, sich die Daten auf Ihrer VBB-fahrCard in ausgewählten Kundenbüros durch Kundenbetreuer anzeigen zu lassen oder diese an Kundeninformationsterminals, kurz Infoterminals, selbst auszulesen. Bei Namen werden dabei ggf. nur die ersten zwölf Zeichen angezeigt. Eine Zusammenstellung aller Kundenbüros, in denen Sie rund ums Thema VBB-fahrCard beraten werden, sowie eine Übersicht aller verfügbaren Infoterminals finden Sie unter VBB.de.

Kann mein Verkehrsunternehmen oder der VBB nun alle meine Fahrten nachverfolgen?

Nein, es ist weder technisch noch organisatorisch möglich, sogenannte Bewegungsprofile auf der Karte oder im System zu speichern. Bei der Kontrolle wird Ihre persönliche Chipkartennummer nur gegen eine Sperrliste geprüft, um festzustellen, ob Ihre Fahrtberechtigung noch gültig ist. Es werden keine personenbezogenen Daten gespeichert. Die (((eTicket-Systeme erfüllen die Anforderungen des Datenschutzes der Länder sowie des Bundes und sind mit dem Berliner Beauftragten für Datenschutz und Informationsfreiheit sowie dem Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg abgestimmt.

Können Dritte beim Auslesen der Daten auf dem Chip (z. B. im Verlustfall) Zugriff auf persönliche und/oder Kontodaten erlangen?

Die Daten auf dem Chip sind grundsätzlich nur von Mitarbeitern der Verkehrsunternehmen mit speziellen Lesegeräten lesbar.

Bei persönlichen Zeitkarten wird der Name des Karteninhabers auf der VBB-fahrCard aufgedruckt und elektronisch auf dem Chip hinterlegt.

Ein Zugang durch Dritte zu weiterführenden persönlichen Daten und zu Kontodaten durch Auslesen der Daten auf dem Chip ist nicht möglich, da diese nicht auf der Karte hinterlegt sind. Kunden können in Verkaufsstellen die auf dem Chip gespeicherten Daten an speziellen Kundeninformationsterminals (Infoterminals) auslesen. […]”

Berliner Fahrgastverband IGEB

aus SIGNAL 5/2013 (November 2013), Seite 4-5

 

Die Jahrgänge



Die SIGNAL-Jahrgänge in der Übersicht:

» 2017
» 2016
» 2015
» 2014
» 2013
» 2012
» 2011
» 2010
» 2009
» 2008
» 2007
» 2006
» 2005
» 2004
» 2003
» 2002
» 2001
» 2000
» 1999
» 1998
» 1997
» 1996
» 1995
» 1994
» 1993
» 1992
» 1991
» 1990
» 1989
1988
1987
1986
1985
1984
1983
1982
» 1981
1980
ANZEIGE

aktuelles Heft

TitelbildOktober 2017

komplettes Heft »

Die Themen der aktuellen Ausgabe 04/2017:

» Quo Vadis VBB-Tarif?
» Der grenzenlose Tarif
» Zur Funktionsweise der OV-chipkaart
» Chipkarte in Dänemark
» Wichtigste Etappe beim Ostkreuz-Umbau geschafft
» S‑Bahn-Linien werden neu geordnet
» Gelungene Notlösung
» Erst ein Mal wurde der Fehler korrigiert
» Die Stammbahn für die ganze Region
» Darß wars noch lange nicht!
» In nur 3 ½ Stunden von Berlin nach Breslau
» Bahnhöfe des Jahres 2017
» Dieselskandal: Eine europäische Lösung muss her
» Mitnahme von nicht eigenen Kindern und Enkelkindern



neu hier?
Links lesen Sie einen Artikel aus dem Internetarchiv der Fachzeitschrift Signal, die sich mit Verkehrspolitik für Berlin und Deutschland auseinandersetzt.

Auf signalarchiv.de finden Sie zusätzlich zu ausgewählten Artikeln aus dem aktuellen Heft auch viele ältere Artikel dieser Zeitschrift.





Kontakt - Abo - Werbung - Datenschutz - Impressum
  © GVE-Verlag / signalarchiv.de / holger mertens 2008-2013 - alle Rechte vorbehalten