Fahrcard

Datenleck bei der VBB-Fahrcard

Nun ist es raus: Wie von Datenschützern befürchtet und vom VBB dementiert, werden bei der VBB-Fahrcard, die hunderttausende Berliner und Brandenburger Abo-Kunden zwangsweise nutzen müssen, tatsächlich Bewegungsdaten gespeichert. Das fand der Berliner Fahrgastverband IGEB bei einem Praxistest heraus.


Berliner Fahrgastverband IGEB

6. Jan 2016

Gar nicht fair: Allen Beteuerungen zum Trotz werden doch Bewegungdaten gespeichert – Dank eines Datenlecks aktuell sichtbar und damit bewiesen. Ohne aktive dauerhafte Beaufsichtigung von unabhängiger Stelle ist dem Datenmissbrauch Tür und Tor geöffnet. Foto: Holger Mertens

Bereits 2012 begann die schrittweise Einführung der elektronischen Fahrkarte als Ersatz für den Papierfahrschein – zunächst für ausgewählt Abo-Kunden und dann schrittweise für alle Kunden mit Zeitkarten. Dabei wurde immer beschwichtigt, wenn Fragen zum Datenschutz aufkamen. Auch heute noch steht auf allen Webseiten und in alle Infobroschüren zu dem Thema:

„[…] Kann mein Verkehrsunternehmen oder der VBB nun alle meine Fahrten nachverfolgen?

Nein, es ist weder technisch noch organisatorisch möglich, sogenannte Bewegungsprofile auf der Karte oder im System zu speichern. [ ]“

Eine der mit Falschaussagen gespickten „Informations“-Broschüren des VBB. Dass die technische und organisatorische Möglichkeit für Bewegungsprofile besteht, wird hier konsequent bestritten, obwohl explizit Datenfelder dafür vorgesehen sind.

sowie:

„[ ] Bei der Kontrolle wird Ihre persönliche Chipkartennummer nur gegen eine Sperrliste geprüft, um festzustellen, ob Ihre Fahrtberechtigung noch gültig ist. Es werden keine personenbezogenen Daten gespeichert. [ ]“

Bei den Kontrollen soll also nichts Personenbezogenes gespeichert werden. Diese Aussage müssen Kunden und Skeptiker einfach glauben. Denn die Möglichkeit, dies zu überprüfen, gibt es nicht – zumindest nicht ungefiltert. Denn:

„[…] Wie erfahre ich, was auf dem Chip gespeichert ist?

Sie können die Daten an speziellen Kundenterminals in allen BVG-Kundenzentren und BVG-Verkaufsstellen auslesen. Das Auslesen der fahrCard ist auch in den Kundenzentren der anderen teilnehmenden Verkehrsunternehmen möglich. […]”

Eine App macht Unsichtbares sichtbar

Das haben wir ausprobiert. In mehreren Kundenzentren verschiedener Verkehrsunternehmen haben wir nachgefragt, was denn auf der Karte gespeichert sei. „Nur, was da steht!“ war immer die einheitliche Antwort. Wir fragten etwas genauer nach: „Sind vielleicht Standorte gespeichert? Oder Datum und Uhrzeit, wann ich kontrolliert wurde oder in einen Bus eingestiegen bin?“ Auch hier immer die eindeutige Antwort: „Natürlich nicht! Das wäre ja ein Bewegungsprofil. So etwas machen wir nicht.“

Der Kunde muss dem also Glauben schenken. Äußerst praktisch für den VBB und die Verkehrsunternehmen. Doch glücklicherweise gibt es inzwischen für alles eine App. „MyTraq“, so der Name eines Handyprogramms, erlaubt es jedem, mit dem eigenen Smartphone beliebige elektronische Fahrkarten auszulesen. Es wurde ursprünglich für das Kontrollpersonal entwickelt. Was diese App anzeigt, ist doch überraschend.

Die Kontrolldaten, die alle angeblich nicht existieren und die niemals gespeichert würden, kann man ganz deutlich schwarz auf weiß sehen. Datum und Uhrzeit sowie die Station, an der die Fahrcard an einem Kontrollgerät vorbeigeführt wurde, ergeben ein ganz klares Bewegungsprofil des Benutzers. Im Screenshot auf Seite 11 ist ein Beispiel zu sehen:

Erschreckend:
ein genaues Bewegungsprofil

Wer mit einer App seine Fahrcard überprüft, stellt verdeckte Datenfelder fest, deren Existenz vom VBB bisher immer dementiert wurden. Im Transaktions-Logbuch ist zum Beispiel genau vermerkt, wann der Inhaber wo in den Bus gestiegen ist. Foto: mytraQ/Holger Mertens

Hier sehen wir die letzten Transaktionen:
Die mit der Nummer 1 bis 4 sind alle vom 7. Dezember 2015 in zeitlich umgekehrter Reihenfolge. Los geht´s um 11.53 Uhr. Die „OrtNr“ verrät, dass man am Berliner Alexanderplatz in den Bus gestiegen ist, und zwar an der Bus-Haltestelle in der Karl-Liebknecht-Straße. Etwa 50 Minuten später dann der nächste Einstieg in einen Bus am U-Bahnhof Turmstraße, genauer an der Haltestelle in Alt-Moabit, wo die Linien 245, TXL (nur Richtung Alex) und die dort endende 187 verkehren. Der Besitzer der Fahrcard ist also am Alex in den TXL gestiegen und dann am U-Bahnhof Turmstraße nach einigen Minuten Aufenthalt in den 245er Richtung Zoo umgestiegen, da der nächste Kontrollpunkt am U-Bahnhof Ernst-Reuter-Platz um 14.16 Uhr ist – also etwa eine Stunde Aufenthalt am Standort der Technischen Universität. Weitere 20 Minuten später ist die Person dann am Zoo in einen weiteren Bus umgestiegen. Da dies der letzte Kontrollpunkt an diesem Tag war, höchst wahrscheinlich in Richtung des Ausgangspunktes Alexanderplatz.

Vielfältiger Missbrauch möglich

Wenn das nach Definition des VBB kein Bewegungsprofil sein soll, was dann? Besonders erschreckend: Jeder, der diese Kontrollapp auf seinem Smartphone oder Tablet installiert hat, kann diese Daten auslesen – berührungslos, wie auch die Kontrollgeräte. Egal, ob nun bei Kollegen auf Arbeit, den eigenen Kindern, dem Ehepartner oder bei Wildfremden. Das kurze unauffällige Vorbeiführen des Handys an der Tasche oder dem Portemonnaie mit der Fahrcard darin genügt, und schon sind alle Daten überspielt. Später lässt sich die Fahrtbewegung anhand der Kontrolldaten ungestört nachverfolgen.

„[ ] Es ist weder technisch noch organisatorisch möglich, sogenannte Bewegungsprofile auf der Karte oder im System zu speichern. [ ]“

Diese noch immer vom VBB verbreitete Aussage ist damit ganz klar falsch. Es ist technisch möglich. Und nicht nur das! Es wird auch entgegen aller Verlautbarungen aktuell praktiziert.

Und so funktionierts: Mit einem NFC-fähigen Android-Handy oder Tablet die kostenlose App „mytraQ” aus dem Store installieren, Fahrcard an die Rückseite des Handys halten und in der App das Transaktions-Logbuch aufrufen. Die Haltestellen-Nummer muss mit 9 000 000 addiert werden, um sie entschlüsseln zu können. Das Ergebnist trägt man auf der VBB-Webseite unter „Haltestellen-Info” ein und klickt auf „START”. Auf der Ergebnisseite wird die Station im Klarnamen ausgegeben. mytraQ/VBB/Holger Mertens

Bereits 2013, als die IGEB das erste Mal auf diese technische Möglichkeit aufmerksam machte, lud der VBB zum persönlichen Gespräch ein. Alles wurde dementiert, den IGEB-Vertretern technisches Unwissen vorgeworfen. Der Projektleiter beim VBB widersprach allen Kritikpunkten. Es wäre technisch gar nicht möglich, dass solche Daten entstünden. Und selbst wenn, dann wären sie sicher.

Beides stimmt nicht. Auf der Karte ist nachweislich ein Bewegungsprofil gespeichert. Was im Hintergrundsystem passiert, können wir nicht einsehen. Die Infrastruktur, das Bewegungsprofil von jeder Kontrolle im Hintergrundsystem zu speichern, auf das Dritte Zugang besitzen, ist vorhanden. Es ist davon auszugehen, dass diese auch genutzt wird.

Der Datenschutz-Beauftragte ist gefordert

Die Frage ist jetzt: Wusste der VBB dies und hat die Kunden absichtlich belogen? Oder wusste er es nicht, wurde selber getäuscht und hat ein System eingeführt, das er weder versteht noch beherrscht? Die Fahrgäste erwarten jetzt jedenfalls eine Aufklärung. Und eine Reaktion des VBB, die zeigt, dass man die Panne ernst nimmt und entsprechende Konsequenzen zieht. Und wo ist eigentlich der Datenschutz-Beauftragte des Landes Berlin? (hm)

Berliner Fahrgastverband IGEB

aus SIGNAL 6/2015 (Dezember 2015/Januar 2016), Seite 10-11