Deutsch-französische Interrail-Aktion ein Datenschutz-Fiasko

Mit dem sogenannten „Freundschaftspass“ haben Deutschland und Frankreich jeweils 30.000 kostenlose Interrail-Tickets für Bahnreisen an junge Menschen zwischen 18 und 27 Jahren verteilt. Hinter den Kulissen lief dabei so einiges schief und das Onlinesystem für die Ticketvergabe gab bei näherer Untersuchung eine ganze Reihe von Schwachstellen preis. Zusammenhängend damit wurde sogar Publik, dass die Registrierungsdaten von 245.000 Teilnehmern an einem ähnlichen EU-Projekt bis zu diesem Wochenende ungeschützt im Netz standen.

Eine ausführliche Dokumentation des Sachverhalts haben die Sicherheitsexperten von Zerforschung veröffentlicht, die sich zunächst wohl vor allem deshalb für die der Interrail-Aktion zugrundeliegende Technik interessiert haben, weil diese bei der Ticketvergabe erst einmal klassisch versagt hatte. Die Registrierungsserver zeigten sich beim Startschuss am vergangenen Montag erstmal komplett überlastet.

Pässe durch Hintertür weiter verfügbar

Zu allererst kam im Zusammenhang mit der Ticketaktion zutage, dass die „Passwort vergessen“-Funktion des Angebots nicht funktionsfähig war und sich Kriminelle ohne Aufwand eine Phishing-Hintertür hätten basteln können, um auf diesem Weg Benutzerdaten zu sammeln.

Das Hacker-Team hat auch diesen Sachverhalt dann auch unverzüglich gemeldet, um direkt danach auf eine Möglichkeit zu stoßen, auch dann noch an einen der kostenlosen Interrail-Pässe zu gelangen, wenn diese laut der offiziellen Webseite längst vergeben waren.

Alle Pässe wurden verteilt! Zur Erinnerung: Die Anmeldung wurde nach dem Prinzip "Wer zuerst kommt, mahlt zuerst" durchgeführt. Wenn du dich angemeldet hast, wirst du bald eine Bestätigungs-E-Mail erhalten. Vielen Dank für dein Interesse und deine Geduld.

Obige Meldung wurde zwar vom Vergabesystem angezeigt, doch konnten Wissende eine Hintertür dafür verwenden, die kostenlosen Fahrkarten auch dann noch automatisiert zu erhalten, wenn die die Gesamtzahl von 30.000 Stück längst überschritten war. Und dies gleich doppelt: Auf den Hinweis über die Schwachstelle hin wurde dieser Zugang nämlich nur notdürftig und wohl eher ohne tatsächliche Fachkenntnisse vernagelt. Eine weitere – den Zerforschern zufolge wenig kooperativ aufgenommene – Kontaktaufnahme war nötig, um diese Schwachstelle komplett zu beseitigen.

245.000 Datensätze ungeschützt im Netz

Nachdem in diesem Zusammenhang derart viel Verantwortungslosigkeit und Unwissenheit an den Tag gekommen ist, haben sich die Sicherheitsforscher weitere Projekte angeschaut, die von den gleichen Agenturen mit öffentlichen Geldern ausgeführt wurden. Hierbei kam dann ans Licht, dass sich die Daten von 245.971 EU-Bürgern, die sich für das bereits 2018 angelaufene Projekt DiscoverEU registriert haben, ohne Aufwand abrufen ließen.

Bei DiscoverEU handelt es sich um ein Projekt, bei dem Interrail-Pässe für Europa verlost werden und aus der angebundenen Datenbank ließen sich neben den Namen der Personen auch die E-Mail-Adresse, das Herkunftsland, der Zustand der Anmeldung, die Art des Tickets und die Bestellnummer bei Interrail auslesen.

Wer Daten verarbeitet, muss sie auch schützen

Die Sicherheitsforscher sehen die beiden Projekte als weiteren Beleg für Versagen und verantwortungsloses Handeln im öffentlichen Auftrag:

Solche halbgaren Lösungen wären schon unzureichend, wenn ein Ticketanbieter ein paar Konzertkarten verkaufen will. Doch wenn ein Bundesministerium sich hinstellt und Zugtickets verschenkt, dann muss nochmal besonderes Augenmerk darauf gelegt werden, dass alles gut getestet ist.
Noch schlimmer wird es dann, wenn wir nicht nur neue Pässe anlegen, sondern sogar mehr als 245.000 Datensätze des DiscoverEU-Programms abrufen können. Wir sagen mal wieder: Wenn eine Website marktreif genug ist, um Daten zu verarbeiten, muss sie auch reif genug sein, diese für sich zu behalten.
Es ist erschütternd, dass hier so nachlässig gearbeitet wurde – und das anscheinend einfach so hingenommen wird.