Experte rät zu Vorsicht beim Test-WLAN der Deutschen Bahn

WLAN (Bild: Shutterstock)

WLAN in den ICE-Zügen der zweiten Klasse soll ab dem Jahreswechsel zur Verfügung stehen. Derzeit wird das Angebot bereits auf einigen ICE-Strecken getestet. Experten von Avast raten Reisenden aufgrund von Sicherheitsbedenken von der Nutzung ab. Die Bahn bestätigt zwar, dass auf ein Passwort bei der Anmeldung verzichtet wird, hat aber andere Maßnahmen ergriffen.

Das im Zuge des WLAN-Ausbaus der Bahn auf einigen Strecken derzeit in Wagen der zweiten Klasse testweise verfügbare WLAN-Angebot in ICE-Zügen ist offenbar nicht ohne weiteres sicher nutzbar. Im Augenblick kann ohne Eingabe eines Passworts darauf zugegriffen werden. “Andere Passagiere im Zug, die auch mit der kostenlosen WLAN-Testversion der Deutschen Bahn verbunden sind, können Sie mit Hilfe von leicht zugänglichen, kostenlosen Tools ausspionieren”, erklärt Filip Chytry, Sicherheitsexperte bei Avast. Er empfiehlt die Nutzung eines VPN-Tools, um Spionageversuche abzuwehren.

Anmeldeseite des Test-WLANs der Deutschen Bahn (Screenshot: Avast)
Anmeldeseite des Test-WLANs der Deutschen Bahn (Screenshot: Avast)

“Öffentlich zugängliches WLAN ist eine der Hauptgefahren, da die Nutzer diese Bedrohung oft unterschätzen. In einer Umfrage haben wir herausgefunden, dass 71 Prozent der befragten Deutschen frei zugängliche WLAN-Netzwerke, die keine Registrierung oder kein Passwort zur Verbindung benötigen, bevorzugen”, so Chytry weiter. Nur 9 Prozent der Umfrageteilnehmer nutzen aber einen VPN-Dienst. Öffentliche WLAN-Netzwerke seien jedoch ein einfaches Einfallstor für Hacker. Den Nutzern sei dagegen meist nicht klar, dass all ihre persönlichen Daten auf den verwendeten Geräten schutzlos ausgeliefert sind, wenn sie sich bei einem öffentlichen WLAN-Netzwerk ohne Sicherheitsschutz anmelden.

Update 7. Dezember 15:40: Inzwischen hat die Deutsche Bahn eine Anfrage von silicon.de zu dem Sachverhalt beantwortet: Demnach wird das WLAN im ICE auch nach dem Test keine Passwörter oder Nutzerdaten beim Log-in abfragen. Allerdings habe die DB und ihr Zulieferer Icomera “einige Sicherheitsmerkmale eingebaut, die das WLAN-Surfen im ICE deutlich sicherer machen als in ähnlichen Netzwerken, die in Cafés und öffentlichen Bereichen zu finden sind”, wie ein Sprecher gegenüber silicon.de mitgeteilt hat. Dazu gehöre zum Beispiel die IP Client Isolation, die unbemerktes Zugreifen von einem auf den anderen WLAN-Teilnehmer unterbinden.

“Trotzdem kann die DB nicht garantieren, dass die WLAN-Verbindungen komplett sicher sind und Kommunikationsverbindungen nicht aufgefangen werden können. Fahrgäste sind allein verantwortlich für den Einsatz von Sicherheitsmaßnahmen, die für die beabsichtigte Nutzung des WLAN-Systems im ICE geeignet sind, wozu der Schutz ihrer Daten und Einrichtungen vor Viren, Spyware und anderen schädlichen Einflüssen gehört”, so der Sprecher weiter. Die von Avast empfohlen Nutzung eines VPNs oder auch anderer Maßnahmen zur sicheren Nutzung von öffentlichen WLANs sind also durchaus empfehlenswert. Die Bahn selbst empfiehlt zur Erhöhung der Sicherheit zum Beispiel “eine VPN-Verbindung bei der Versendung von Daten oder das ausschließliche Surfen auf https-Seiten.”

Mehr zum Thema

Sicherheitsrisiken in öffentlichen WLANs vermeiden

Mit einigen Schritten und kostenlosen Tools können sich Anwender effizient vor Angriffen in unsicheren WLANs schützen und Notebook, Smartphone und Tablets absichern. Die Kollegen der silicon.de-Schwestersite ZDNet.de erklären in ihrem Beitrag, wie das funktioniert.

Bereits im Oktober gab es Kritik an der Implementierung des WLAN-Zugangs bei der Deutschen Bahn. Damals hatte der Nutzer Nexus, ein Mitglied des Chaos Computer Clubs, darauf hingewiesen, dass die Absicherung gegen Cross-Site-Request-Forgery-Angriffe (CSRF) fehlt. Die versprach die Bahn nach der Veröffentlichung des Sachverhalts noch am selben Tag durch ein Software-Update zu gewährleisten.

Um auf das WLAN in Zügen der Deutschen Bahn zuzugreifen, muss – wie bei derartigen Angeboten meist üblich -, zunächst eine Startseite aufgerufen werden. Im Fall der Bahn ist das wifionice.de.. Dort ist über einen Button zu bestätigen, dass die Geschäftsbedingungen akzeptiert werden. Dazu wird eine Anfrage an die Domain omboard.info gesendet, die IP-Adresse und MAC-Adresse des verwendeten Endgeräts abfragt und für die WLAN-Nutzung freischaltet.

Ausgewähltes Whitepaper

Optimierungsbedarf bei Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Da das Verfahren auf die für solche Cross-Site-Requests (also Anfragen an andere Sites) erforderlichen Sicherheitsmaßnahmen (das Mitsenden eines Tokens) verzichtet hatte, war es angreifbar: Der Code für CSRF-Angriffe konnte in beliebige Websites eingebettet werden. Dadurch ließen sich etwa die für die WLAN-Verbindung zur Verfügung gestellten Statusinformationen ausspähen und eventuell Bewegungsprofile von Nutzern erstellen.