Sicherheitslücke bei der Deutschen Bahn entdeckt: Firmenkundendaten sind frei im Internet verfügbar

Seit 40 Jahren gibt es das Stellwerk am Dortmunder Hauptbahnhof. Zum kleinen Erinnerungstreff kamen viele Ehemalige zusammen. Fotos: Joachim vom Brocke
Nicht nur die Strecken-, auch die Dateninfrastruktur der Bahn ist teils veraltet. Foto: Joachim vom Brocke

Von Simon Wörpel (correctiv.ruhr)

Nicht nur auf der Schiene fällt die Bahn regelmäßig mit maroder Infrastruktur auf. Auch im Internet ist die Technik teilweise von gestern. correctiv.ruhr hat eine Sicherheitslücke entdeckt, über die Daten von Firmenkunden leicht auszuspähen sind.

CORRECTIV.RUHR deckt Daten-Leck bei Bahn-Business-Kunden auf

Das Daten-Leck befindet sich im Geschäftskunden-Bereich. Hier wickeln weit über zweihunderttausend Unternehmen ihre Geschäftsfahrten ab. CORRECTIV.RUHR war in der Lage, innerhalb weniger Minuten über zehntausend Geschäftsadressen von bahn.business-Kunden abzugreifen, ohne dafür eine Passwort-Sperre oder andere Sicherheits-Barrieren knacken zu müssen.

correctiv.ruhr hat diesen Beispieldatensatz von 10.139 Unternehmen und Organisationen genauer angeschaut, um die Lücke bewerten zu können. Von Elterninitiativen an Schulen über Mittelständler bis hin zu Konzernen, Landesministerien und politischen Fraktionen ist alles dabei.

Außer ihrer Rechnungsadresse haben viele Geschäftskunden auch die Namen von entsprechenden Ansprechpartnern der Bahn anvertraut. Oder detaillierte Angaben über die Lage der jeweils zuständigen Abteilungen oder Büros, so zum Beispiel „2.OG Raum 2.13“ bei einer Firma aus Baden-Württemberg. Auch ausländische Firmen, vorzugsweise aus China, sind in unserem Beispieldatensatz zu finden.

Daten sind vor allem für Werbetreibende und die Konkurrenz von Interesse

Die Zentrale der Bahn am Potsdamer Platz in Berlin. Foto: Alex Völkel
Die Zentrale der Deutschen Bahn AG am Potsdamer Platz in Berlin. Foto: Alexander Völkel

Solche Daten dürften vor allem für Werbetreibende und die Konkurrenz im Mobilitätssektor interessant sein, da ziemlich klar ist, was man diesen Firmen verkaufen kann: Billigere Geschäftsreisen als bei der Bahn.

Aber auch Kriminelle könnten die detaillierten Kontaktinformationen nutzen, um Briefe im Namen einer Firma zu verschicken und so „Social Engineering“ zu betreiben. Weiter könnten sie versuchen, mit den Informationen Fahrkarten über die Namen der Unternehmen zu buchen.

Unabhängig davon, ob und wie die Daten missbraucht werden könnten – allein, dass sie bei einem internationalen Konzern wie der Bahn so einfach zu bekommen sind, ist überaus bedenklich.

Die Lücke ist technisch banal: Bahn.business-Kunden erhalten einen speziellen Link, über den sich ihre Mitarbeiter als „Selbstbucher“ registrieren können. Die gekauften Tickets werden dann direkt über die Firma abgerechnet.

Datenabfrage dauerte für über 10.000 Adressen lediglich 45 Minuten

sicherheitsluecke-bei-der-bahnDieser Link hat in seiner Adresse einen Parameter namens „firmenid“, der jedem Kunden eine eigene Nummer zuweist.

Ändert man diesen Parameter, erhält man die Eingabemaske für eine andere Firma – mit vorausgefüllter Rechnungsadresse und oftmals auch mit einem Ansprechpartner oder weiteren Details aus dem Geschäftsbetrieb der betroffenen Firma.

Das Späh-Programm, das diese Abfrage sehr einfach automatisiert und die Daten in eine auswertbare Tabelle umwandelt, konnten wir in wenigen Minuten schreiben. Es hat 11 Zeilen und 799 Zeichen (inklusive Leerzeichen). Die Datenabfrage selbst dauerte für die über 10.000 Adressen lediglich 45 Minuten.

  • correctiv.ruhr hat die Bahn um eine Stellungnahme gebeten. Bis Redaktionsschluss lag diese nicht vor.
  • Disclaimer: correctiv.ruhr hat den Beispieldatensatz nach Abschluss der Recherche vernichtet.

________________________________________________________

Der Autor ist Redakteur bei CORRECTIV.RUHR. Die Redaktion finanziert sich ausschließlich über Spenden und Mitgliedsbeiträge. Ihr Anspruch: Missstände aufdecken und unvoreingenommen darüber berichten. Wenn Sie CORRECTIV.RUHR unterstützen möchten, werden Sie Fördermitglied des Recherchenzentrums correctiv.org

Write a Comment

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert