[Update] WLAN-Angebot der Bahn genügt aktuellen Sicherheitsstandards offenbar nicht

Das in den vergangenen Monaten stark ausgebaute und verbesserte WLAN-Angebot der Deutschen Bahn erfüllt offenbar gängige Sicherheitsstandards nicht. Unter anderem sollen sich persönliche Daten der Nutzer auslesen lassen. Außerdem sei kein Schutz vor Cross-Site-Request-Forgery-Angriffen (CSRF) implementiert. Darauf hat ein Mitglied des Chaos Computer Clubs, das sich Nexus nennt, jetzt hingewiesen.

Um das WLAN in Zügen der Deutschen Bahn zu nutzen, muss eine Startseite mit der Adresse wifionice.de aufgerufen werden. Dort ist über einen Button zu bestätigen, dass die Geschäftsbedingungen akzeptiert werden. Dazu wird eine Anfrage an die Domain omboard.info gesendet, die wiederum IP-Adresse und MAC-Adresse abfragt und für die WLAN-Nutzung freischaltet. Das Verfahren funktioniere “nur mit Cross-Site-Requests”, wie Nexus ausführt. Auf Schutzmaßnahmen gegen sogenannte Cross-Site-Request-Forgery-Angriffe sei jedoch verzichtet worden.

Üblicherweise würden für derartige Formulare beispielsweise Token mitgesendet. Da die Absicherung per Token beim Bahn-WLAN fehle, lasse sich Code für CSRF-Angriffe in beliebige Websites einbetten, so Nexus. Dadurch ließen sich etwa die für die WLAN-Verbindung zur Verfügung gestellten Statusinformationen ausspähen. Dazu zählen die “GPS-Koordinaten des Zugs, aktuelle Zellinformationen der LTE-Infrastruktur sowie nutzerspezifische Informationen wie IP- und MAC-Adresse der genutzten Hardware”.

Nexus weiter: “Versieht man eine Website mit einem geeigneten Skript, erlaubt dies die eindeutige Erfassung und Zuordnung von Bewegungsdaten bei Seitenzugriffen.” So könnten Werbetreibende etwa Code in einem Werbebanner einbetten und so Bewegungsprofile von Internetnutzern erstellen.

Nach Ansicht von Nexus wurde bei der Erstellung der Software für das sogennate Captive Portal, also die Anmeldeseite, “offensichtlich kein Security-Audit durchgeführt, sondern auf die Fachkenntnis des Herstellers vertraut. Bei letzterem fehlt es entweder an Grundlagenwissen in Bezug auf Webtechnologien oder es existiert keine Sensibilisierung für die Privatsphäre der Nutzer.”

Nutzern der Deutschen Bahn empfiehlt er, nach dem Log-in ins WLAN per Firewallregel TCP-Verbindungen zur Adresse 172.16.0.1 zu verbieten. Bei vielen Firmenrechnern dürfte das aber daran scheitern, dass der Nutzer dazu gar nicht die erforderlichen Rechte (als Administrator) besitzt. “Bei aktueller Umsetzung lässt man den Browser im Zug aber vielleicht am besten einfach geschlossen.”

“Wir haben die vom Chaos Computer Club beschriebene vermeintliche Sicherheitslücke identifiziert”, erklärt ein Sprecher der Deutschen Bahn schriftlich gegenüber silicon.de. “Wir haben bereits begonnen, ein Softwareupdate aufzuspielen, so dass das Problem bis zum Ende des Tages bei allen Zügen behoben sein wird.”

mit Material von Stefan Beiersmann, ZDNet.de]