Deutsche Bahn: CCC kritisiert Sicherheitslücke im ICE-WLAN
WIFIonICE, das WLAN-Netz in den ICE-Zügen der Deutschen Bahn, ist weiterhin anfällig für Angriffe von außen, kritisiert der Chaos Computer Club (CCC). Durch eine Sicherheitslücke können Angreifer private Informationen der Nutzer wie den Standort, die MAC-Adresse und das verbrauchte Datenvolumen auslesen.
Lücke existierte schon im Oktober 2016
WIFIonICE ist das WLAN-Netz in den ICE-Zügen, das Passagiere der ersten mittlerweile auch der zweiten Klasse (mit einem auf 200 MB begrenzten Datenvolumen) kostenlos nutzen können. Doch bereits im letzten Oktober entdeckte der Softwareentwickler und CCC-Sprecher Falk Garbsch eine „konzeptuelle Sicherheitslücke“. Die erlaubt es Angreifen, persönliche Daten wie den Standort, die MAC-Adresse von Endgeräten oder das genutzte Datenvolumen der Benutzer abzugreifen.
Die Deutsche Bahn schaffte zwar schnell Abhilfe, doch wirklich funktioniert hat der Patch offenkundig nicht, wie Garbsch auf der Webseite vom CCC Hannover beschreibt. Ein neuer Proof of Concept belegte, dass externe Webseiten noch immer Daten auslesen könnten.
Die Kritik vom Chaos Computer Club ist daher deutlich: „Eine minimale Änderung, die vom Konzern als Behebung des Problems beim 'WIFIonICE' verkauft wurde, erweist sich jedoch als untauglich. Der von ihr beauftragte Dienstleister zeigte sich auch nach Monaten außer Stande, das Problem zu beheben.“
Die Bahn prüft die Vorwürfe
Die Bahn selbst hält sich angesichts der Vorwürfe bedeckt. Fachleute würden das Problem derzeit analysieren, erklärte ein Sprecher des Unternehmens auf Anfrage von Motherboard. Ebenso prüfe man, ob der „Vorwurf einer vermeintlichen Sicherheitslücke zutrifft“.