2. November 2016 - Sicherheitslücke

Deutsche Bahn erneut mit digitaler Panne

Im Portal für Geschäftskunden der Deutschen Bahn wurde eine Schwachstelle festgestellt, die es mit wenig Aufwand erlaubt, ohne entsprechende Legitimierung auf Kundendaten zuzugreifen.

Deutsche Bahn erneut mit digitaler Panne Daten von Geschäftskunden der Deutschen Bahn waren ungeschützt und für Fremde über das Internet abrufbar (Bild: Digital Vision / Thinkstock)

Das Recherchezentrum correctiv.org hat eine Sicherheitslücke im Geschäftskundenbereich „bahn.business“ des Online-Auftritts der Deutschen Bahn aufgespürt, über den mehr als 200.000 Unternehmen ihre Geschäftsreisen mit der Bahn abwickeln. Bereits vor einigen Tagen war die Bahn ins Visier von Datenschützern gerückt, da das WLAN in den ICE-Zügen unsicher konfiguriert war.

Dem Bericht auf correctiv.org zufolge war es den Entdeckern der Schwachstelle möglich, durch eine einfache Manipulation der URL an Daten von registrierten Kunden des Bahnportals zu gelangen. Hierfür war es ausreichend, im Link zum Firmenportal den Parameter „firmenid“ zu verändern, der Kundenunternehmen eine eindeutige Nummer zuweist.

Anschließend erhielten die Autoren des Recherchebüros die Daten einer anderen Firma. So sei es in kurzer Zeit möglich gewesen, mittels eines einfachen Scripts mehr als 10.000 Kundendatensätze zusammenzutragen. Darin seien unter anderem Rechnungsadressen und oftmals auch Ansprechpartner sowie weitere Details aus dem Geschäftsbetrieb der betroffenen Firma gespeichert.

Eine Sprecherin der Bahn erklärte, nachdem die Bahn vor Veröffentlichung des Beitrags auf den Fehler hingewiesen wurde, auf Nachfrage, es handele sich um ein „technisches Problem“ wobei nach „erster Einschätzung keine personenbezogenen Daten betroffen“ seien. Dennoch habe man die betroffene Funktionalität zunächst deaktiviert, während man an einer Lösung arbeite.

fgo

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln