Wahrscheinlich losgetreten durch unsere Beiträge und dadurch ausgelöste Rückfragen einiger Leser, hat der VVS mittlerweile seine Informationsseite zur polygoCard überarbeitet. Die im folgenden Screenshot abgebildeten früheren Aussagen, dass keine Fahrten, Bewegungsprofile und personenbezogene Daten gespeichert werden, sind verschwunden.
Stattdessen wurde die Seite unter der Überschrift „Welche Daten sind auf der Karte gespeichert und wie werden diese geschützt?“ um detailliertere Informationen zu den auf den Karten gespeicherten Kundendaten, deren Schutz und den gespeicherten Transaktionen ergänzt.
Wer die aktuelle Version der polygoCard Seite des VVS selbst mit der früheren Version vergleichen möchte, findet die alte Version unter folgender Adresse im Internet-Archiv:
http://web.archive.org/web/20160428131657/http://www.vvs.de/polygocard/
Außerdem hat der VVS unsere im ersten polygoCard Beitrag gestellten Fragen nun in einer Stellungnahme (PDF) auf einen Antrag der Fraktion DIE LINKE (PDF) im Verkehrsausschuss des VRS beantwortet. Alle diese Informationen bestätigen weitgehend unsere Beobachtungen und sollen im folgenden genauer durchleuchtet werden.
Der RBS speichert Einstiege in seine Busse auf der polygoCard
Dieses Vorgehen wird damit begründet, dass die Busse des RBS auch in anderen Tarifgebieten (z.B. Heilbronn) unterwegs sind, wo die Fahrpreisberechnung bei Gelegenheitsfahrgästen im Nachhinein stattfindet. Bei diesem sogenannten CICO-Prinzip (Check-In / Check-Out) sollen die auf Karte geschriebenen Transaktionen den Kunden ermöglichen, die Preisbildung nachvollziehen zu können.
Beim VVS ist die Speicherung der Transaktionen nicht erforderlich, da die vom VVS ausgegebenen polygoCards nur in Verbindung mit Zeittickets zum Einsatz kommen. Aus diesem Grund hat der VVS einen Antrag zur Änderung des bundesweit geltenden Standards mit dem Ziel eingereicht, dass bei Zeittickets Einstiegsvorgänge grundsätzlich nicht mehr gespeichert auf der Chipkarte werden sollen. Solche Änderungsvorschläge werden in der mindestens jährlich stattfindenden Teilnehmerversammlung von (((eTicket Deutschland beraten und verabschiedet. Wir sind gespannt, ob sich der VVS mit seiner Forderung durchsetzen kann.
Die aktuelle Version dieses Standards stammt vom Mai 2015 und enthält den vom VVS eingereichten Änderungsantrag noch nicht. Die Planung für die nächste Version soll einschließlich Änderungsanträge im Mai 2017 abgeschlossen werden. Im Zuge der neuen Version muss sicher viel Software angepasst, getestet und zertifiziert werden. Die Migration auf die neue Version wird sich laut Releaseplanung von 2017 bis Ende 2022 hinziehen. Eine zeitnahe Deaktivierung der Schreibvorgänge ist über diesen Weg somit nicht realisierbar.
Die SSB sowie die überwiegende Zahl der Busunternehmen in der Region speichern keine Einstiegsvorgänge auf der Karte. Dort hat man die standardmäßig vorgesehene Speicherung durch eine mittlerweile vorgenommene Softwareanpassung unterbunden. Man fragt sich, warum dies bei den restlichen Busunternehmen und dem RBS nicht auch passieren kann. Die auf Karte gespeicherten Transaktionen sind für eine Kostenkontrolle durch den Kunden des Heilbronner Nahverkehrs sowieso schlecht geeignet, da nur eine Minderheit ein dafür geeignetes Smartphone besitzen dürfte und die maximal 10 Einträge bei häufiger Nutzung schnell überschrieben sind. Für die Kostenkontrolle gibt es beim HNV außerdem einen extra Login-Bereich.
Vermutlich dient die auf Karte geschriebene Check-In Transaktion beim Einstieg in den Bus sowieso nur der Fahrscheinkontrolle durch einen Kontrolleur. Wie sonst sollte der Kontrolleur offline überprüfen können, ob der Fahrgast beim Einstieg ordnungsgemäß einen Check-In durchgeführt hat und somit im Besitz eines gültigen Fahrscheines ist?
Übermittlung von Kontrolldatensätzen an ein zentrales Hintergrundsystem
Das Sicherheitskonzept des eTickets sieht vor, dass Kontrolldatensätze in anonymisierter Form an ein zentrales System gesendet werden, um Angriffe auf das eTicket-System erkennen zu können. Trotz eingesetzter kryptografischer Schutzmechanismen ist anscheinend die Erstellung von 1:1 Kopien von eTickets möglich. Solche duplizierten Karten können nur durch eine zentrale Zusammenführung und Auswertung von Kontrolldatensätzen erkannt und anschließend gesperrt werden. Da sich das hierfür notwendige System noch im Aufbau befindet, wird diese Datenzusammenführung und Auswertung derzeit noch nicht genutzt.
Ob die später einmal an die Zentralstelle übermittelten Daten wirklich keine Rückschlüsse auf den Karteninhaber zulassen, darf bezweifelt werden. Die ID einer Karte ist prinzipbedingt immer einem Inhaber zuzuordnen, da sonst beim CICO-Verfahren keine monatliche Abrechnung erstellt werden könnte.
Wenn sich die Karten wirklich kopieren lassen, sollte man auf seine polygoCard gut aufpassen. Bei Kontrollen empfiehlt es sich z.B. gut zu prüfen, ob man seine polygoCard wirklich einem offiziellen Kontrolleur in die Hand drückt und nicht etwa einem „Karten-Kopierer“. Wird vom Zentralsystem eine gleichzeitige Nutzung einer Karte an verschiedenen Orten erkannt, dann erfolgt eine Sperrung dieser Karte. Diese Sperrung betrifft die Kopien sowie die Originalkarte.
Die eTicket Spezifikation ist mit den Datenschutzbeauftragten abgestimmt
Die datenschutzrechtlichen Grundanforderungen für das elektronische Fahrgeldmanagement in Deutschland wurden mit den Datenschutzbeauftragten des Bundes und der Länder entwickelt und abgestimmt. Die insgesamt 11 Anforderungen wurden zum einfacheren Verständnis direkt ihren Maßnahmen zur Erfüllung tabellarisch im eTicket Deutschland Teilnehmerbrief Datenschutz gegenübergestellt.
Hierbei stechen mir unter Punkt 4 (Datensparsamkeit) folgende Aussagen ins Auge:
„Insbesondere ist auszuschließen, dass kundenbezogene Bewegungsprofile erstellt werden.“
Die in den RBS-Bussen geschriebenen Transaktionen lassen genau das zu.
„Werden zu Zwecken des Reklamationsmanagements nutzungsbezogene Daten auf mobile Speichermedien (Chipkarte) geschrieben, muss es dem Fahrgast ermöglicht werden, diese Daten auf eigene Verantwortung zu löschen.“
Den Karteninhabern ist es derzeit nicht möglich die nutzungsbezogenen Daten auf der polygoCard zu löschen. Dies ist der große Unterschied zum Papierfahrschein, der zwar dieselben Daten enthält, aber jederzeit weggeworfen werden kann.
Unter Punkt 10 (Schutz gegen Missbrauch) steht:
„Es müssen Vorkehrungen (u.a. Sperrung, Verschlüsselung) getroffen werden, die den Fahrgast in angemessener Weise gegen missbräuchliche Verwendung der Daten durch Dritte bei Verlust des Speichermediums schützen.“
Da jeder, der eine polygoCard in die Finger bekommt, die darauf gespeicherten Buseinstiege auslesen kann, ist diese Anforderung m. E. nicht umgesetzt.
Mutwilliges Auslesen einer fremden polygoCard
Laut der polygoCard-Seite des VVS erfolgt die Übertragung zwischen der polygoCard und dem Kontrollgerät verschlüsselt über eine Schnittstelle gemäß ISO 14443. Der Leseabstand sei kleiner 4 cm.
Das „Kompetenzcenter für Elektronisches Fahrgeldmanagement“ in NRW hat ein kleines Ingenieur-Büro mit einer Untersuchung beauftragt, die belegen soll, dass die eTickets nur aus einem Abstand von maximal 2 cm ausgelesen werden können. Der Untersuchungsauftrag wurde auf lediglich 1,8 Projekttage und die Nutzung des Original-Lesegerät eingeschränkt.
Trotz dieser Einschränkungen gelang es den Autoren des Untersuchungsberichts die Chipkarten mit dem Original Lesegerät aus 5 cm Entfernung auszulesen. Außerdem weisen sie darauf hin, dass die üblicherweise anzutreffenden Ausleseentfernungen für ISO14443-System im Bereich von 5-10 cm liegen und dass es in der Literatur Hinweise gibt, dass weitaus größere Reichweiten über 20 cm möglich sind. Laut einem Dokument des BSI ist eine Kommunikation in einem Abstand bis zu 15 cm möglich. Das sollte für das mutwillige Auslesen einer fremden polygoCard in jedem Fall ausreichen.
Offene Punkte
Der VVS verneint, dass bei Fahrscheinkontrollen durch Kontrolleure Transaktionsdaten auf die Karten geschrieben werden. Einer unserer Leser hatte das Gegenteil gemeldet, ein Beleg dafür haben wir bislang aber nicht. Falls Sie einen solchen auf Ihrer polygoCard finden, senden Sie diesen bitte in Form eines Screenshots an unsere, unter https://s-bahn-chaos.de/service/kontakt zu findende Kontakt E-Mail Adresse. Alternativ auch gerne per Twitter direkt an @earlybird445.
Ob in Zukunft eine Löschung der auf Karte geschriebenen Fahrtransaktionen vom VVS oder den Verkehrsunternehmen (insbesondere dem RBS) angeboten wird ist ungewiss. Letzteres wird in anderen Verkehrsverbünden bereits praktiziert. Dies wäre vermutlich aber auch erst dann praktikabel möglich, wenn keine Daten mehr auf die Karten geschrieben werden.
Natürlich interessiert uns, wie es mit dem vom VVS gestellten Änderungsantrag weitergeht. Wann wird er entschieden und wie geht es nach eine Annahme des Antrags zeitlich weiter?
Vorläufiges Fazit
Es ist zu begrüßen, dass der VVS seine Kunden nun korrekt über die auf der polygoCard gespeicherten Daten informiert und sich darum kümmern will, dass zukünftig keine unnötigen Daten mehr auf der Karte gespeichert werden. Man muss ihm auch zugute halten, dass er den eTicket-Standard nicht selbst entwickelt hat und durch die Verwendung des bundeseinheitlichen Standards weitgehend unverschuldet in diese Situation hineingeraten ist.
Im identischen Fall der VBB-Fahrcard in Berlin schrieb das IT-News Magazin golem.de:
Die Fahrcard ist kaputt
Das System hat also grundsätzliche Schwächen und wurde nicht, wie angegeben, so entwickelt, dass es unmöglich ist, Bewegungsprofile zu speichern und erst recht nicht, dass ein Nutzer eines NFC-Telefons an Daten herankommt, die – wenn überhaupt – nur ein berechtigtes Gerät auslesen dürfte. Die VBB-Fahrcard kann damit als kaputt eingestuft werden.
Nicht alles was kaputt ist muss gleich weggeworfen werden. Hoffen wir, dass die polygoCard noch zu retten ist. Eine erfolgreiche „Reparatur“ müsste mindestens folgendes beinhalten:
- Deaktivierung aller Schreibvorgänge beim Einstieg in Verkehrsmittel und bei Kontrollen
- Löschung aller schon geschriebenen Fahr- und Kontrolltransaktionen von den Karten
Unter dem Titel „Debatte über Polygocard – VVS weist Vorwürfe wegen Datenspeicherung zurück“ hat es das Thema Datenschutz bei der polygoCard am Freitag 27.5.2016 in die Stuttgarter Zeitung und die Stuttgarter Nachrichten geschafft. Außerdem gibt es unter dem Titel „Genau hinschauen“ einen Kommentar von StZ-Redakteur Thomas Durchdenwald zum Thema. Hier die Links auf die beiden Artikel in der Stuttgarter Zeitung:
http://www.stuttgarter-zeitung.de/inhalt.debatte-ueber-polygocard-vvs-weist-vorwuerfe-wegen-datenspeicherung-zurueck.51b643e8-1d7b-4e8d-8ba8-0cb16a341a59.html
http://www.stuttgarter-zeitung.de/inhalt.kommentar-genau-hinschauen.36d702ca-0249-4ed0-874a-dbfe31197faa.html
Genau hinschauen. Genau das haben wir gemacht. Wir haben uns die polygoCard genau angeschaut. Wir haben die Aussagen des VVS auf seiner polygoCard-Seite mit unseren Beobachtungen verglichen und hierbei Abweichungen festgestellt. Dies Abweichungen haben wir sachlich dokumentiert, ohne Schwarzmalerei zu betreiben:
Die damaligen Aussagen des VVS auf seine polygoCard-Seite lauteten:
„Es werden dort [auf der polygoCard] lediglich die Daten gespeichert, die sich heute schon auf dem Verbundpass und der Wertmarke befinden“
„Es werden keine Fahrten und personenbezogene Daten gespeichert“
Die Realität sah anders aus:
Die Kontrollgeräte in den RBS-Bussen speichern schon immer (und immer noch) bei jedem Einstieg völlig unnötig den Zeitpunkt und die Haltestelle auf der polygoCard. Andere Busunternehmen mit Ausnahme der SSB haben ebenfalls, zumindest bis Januar 2016, diese Fahrtransaktionen auf die polygoCards geschrieben.
Unser Vorwurf war und ist, dass der VVS seine Kunden damals wissentlich falsch über die polygoCard informiert hatte. Hierbei spielt es überhaupt keine Rolle, dass nur Busnutzer von der Problematik betroffen sein können. Wissentlich deshalb, weil die Problematik schon 2015 bei anderen Verkehrsverbünden publik wurde und der VVS ja auch bereits die Deaktivierung der Schreibvorgänge auf die polygoCard vorangetrieben hatte. Mittlerweile hat der VVS seine polygoCard-Seite ja klammheimlich korrigiert. Auch ein stilles Eingeständnis, dass unsere Kritik berechtigt war.
Also von wegen: „VVS weist Vorwürfe wegen Datenspeicherung zurück“. Wir haben Busunternehmen und somit auch den VVS nachweislich beim speichern von Bewegungspunkten auf der polygoCard ertappt. Das ist ein Fakt und da gibt es nichts zurückzuweisen.
Dass die personenbezogenen Daten auf der Karte verschlüsselt abgelegt sind und mit dem Smartphone nicht ausgelesen werden können, stellt in der Praxis oft keinen Schutz dar. Auf der polygoCard ist der Name des Besitzers abgedruckt und wenn ich die Karte einer mir bekannten Person auslese, dann kann ich die ausgelesenen Bewegungspunkte (Datum, Uhrzeit und Ort) eindeutig dieser Person zuordnen. Für diese Bewegungsdaten gibt es nämlich überhaupt keinen Zugriffsschutz, außer der relativ geringen Ausleseentfernung von einigen Zentimetern.
So geschehen am Mittwoch 27.04.2016 nach der Sitzung des VRS-Verkehrsausschusses. Da haben wir nämlich – mit seinem Einverständnis – die polygoCard von VVS-Geschäftsführer Horst Stammler ausgelesen. Da wir ihn als fleißigen Nutzer der VVS-Verkehrsmittel kennen, waren darauf einige Buseinstiege protokolliert, minutengenau und mit der jeweiligen Einstiegshaltestelle. Mag sein, dass er zu den Menschen gehört, die einfach nichts zu verbergen haben. Es soll aber Menschen geben, die das weniger entspannt sehen.
Zugegebenermaßen ist das Problem mit der polygoCard beim VVS nicht so gravierend wie bei den Berliner Verkehrsbetrieben, die für ihre ähnliche „Fahrcard“ kürzlich mit dem Big Brother Award ausgezeichnet wurden. Andererseits haben diese die unnötigen Schreibvorgänge bei sich mittlerweile komplett deaktiviert und bieten ihren Kunden die Löschung der geschriebenen Transaktionen an. Der VVS hat in dieser Hinsicht noch zwei Hausaufgaben zu erledigen.
Wer die aktuelle Version der polygoCard-Seite des VVS selbst mit der früheren Version vergleichen möchte, findet die alte Version unter folgender Adresse im Internet-Archiv:
http://web.archive.org/web/20160428131657/http://www.vvs.de/polygocard/
Im heutigen (01.06.2016) VRS-Verkehrsausschuss ist auf einen Antrag der Linken hin das Thema auf der Tagesordnung, inkl. Stellungnahme des VVS.
https://gecms.region-stuttgart.org/gdmo/Sitzung.aspx?id=1496