Aachen - Skandal um „eTickets“: Piraten decken Datenleck auf

Radarfallen Bltzen Freisteller

Skandal um „eTickets“: Piraten decken Datenleck auf

Von: Oliver Schmetz
Letzte Aktualisierung:
16009771.jpg
Das E-Ticket der Aseag stößt bei seiner Einführung auf massive Probleme. Foto: Michael Jaspers

Aachen. Erst kamen die Chipkarten zu spät und zum Teil auch gar nicht, dann wurde ihre Einführung überschattet durch peinliche Pannen mit falschen Mahnungen und Kündigungen sowie fehlenden Bankdaten. Und nun mündet der Versuch der Aseag, elektronische Tickets einzuführen, offenbar auch noch in einen handfesten Datenschutzskandal.

Denn die Aachener Piraten haben herausgefunden, dass die neuen „eTickets“, die die Aseag in den vergangenen Monaten an 120.000 Kunden von Abo-Karten verschickt hat, problemlos auszulesen sind – und das im Prinzip von jedem. Man braucht dazu laut den Piraten lediglich eine spezielle App, die für Android und IOS-Smartphones kostenlos erhältlich ist.

Dann kann man jedes fremde „eTicket“, an das man sein Handy hält, anfunken und erhält die dort hinterlegten Kundendaten: Art des Tickets, Kundenname, Geburtsdatum, die letzten zehn Scannvorgänge...

Kundendaten völlig unverschlüsselt

Die Aachener Piraten halten dieses Datenleck für „skandalös“, wie ihr verkehrspolitischer Sprecher Matthias Achilles bekräftigt: „Die Kundendaten liegen völlig unverschlüsselt und damit ungeschützt auf den Tickets“, kritisiert er und sieht damit die düstersten Befürchtungen seiner Partei bestätigt. Denn im Vorfeld der Einführung der neuen Tickets habe man frühzeitig Bedenken in punkto Datensicherheit geäußert, sei aber von der Aseag offensichtlich nicht ernst genommen worden.

„Und jetzt ist im Prinzip genau das eingetreten, was wir befürchtet haben.“ Die Aseag habe offenbar nur auf ein Mindestmaß an Funktionalität geachtet und dabei die Informationssicherheit eklatant vernachlässigt. Dabei hätte man doch relativ leicht aus den früheren Fehlern anderer Städte lernen können, meint Achilles: „Aachen ist ja nun wirklich nicht die erste Stadt, die ‚eTickts‘ einführt, in Berlin beispielsweise hatte man damals das gleiche Problem.“

Landesbeauftragte für Datenschutz informiert

Die Information über das Datenleck wurde an die Piraten deren Angaben zufolge „von außen herangetragen“. Daraufhin habe man selber versucht, die „eTickets“ mit der besagten App auszulesen – und siehe da, es war problemlos in Sekundenschnelle möglich. Am Freitag hat man dann den Fall an die Landesbeauftragte für Datenschutz in Nordrhein-Westfalen, Helga Block, in Düsseldorf weitergeleitet. Auch dort soll man, so die Piraten, in einer ersten Reaktion schockiert über das Datenleck bei der Aseag gewesen sein. Mittlerweile sei die Aachener Angelegenheit der Zuständigkeit halber an den Bundesdatenschutzbeauftragten weitergeleitet worden, berichtet Achilles.

Den Kunden der Aseag raten die Piraten nun dringend, die nagelneuen „eTickets“ am besten überhaupt nicht mehr zu benutzen, wenn sie ihre Daten vor fremdem Zugriff schützen wollen. „Das Scannen ist ohnehin völlig verzichtbar“, kommentiert Achilles die Aufforderung der Aseag an die Kunden, ihre Zeitkarten beim Einstieg vor die „Validatoren“ zu halten. Erst wenn es auch elektronische Einzeltickets gibt, dient dieses Scannen dem Entwerten. Bis dahin soll es laut Aseag vor allem den Kontrolleuren dabei helfen, mögliche Schwarzfahrer besser ausfindig zu machen.

Wie es nun weitergeht nach diesen pannenreichen Monaten, über die Aseag-Chef Michael Carmincke zuletzt auch dem Aufsichtsrat berichten musste, ist noch völlig unklar. Können die Kundendaten auf den „eTickets“ nachträglich verschlüsselt werden? Oder führt der aktuelle Datenskandal sogar dazu, dass sämtliche 120.000 Zeitkarten neu produziert werden müssen?

Bei der Aseag stellt man sich solche Fragen offenbar gar nicht. Man nutze bei den „eTickets“ genauso wie der Aachener Verkehrsverbund (AVV) „den deutschen eTicket-Standard“ und halte sich an die „datenschutzrechtlichen Regelungen“, teilt Pressesprecher Paul Heesel auf Anfrage unserer Zeitung schriftlich mit.

Wie die Daten auf dem Ticket gespeichert und gelesen werden können, sei mit dem eigenen Datenschutzbeauftragten abgestimmt. Über die Sicherheit des Systems und den Umgang mit personenbezogenen Daten finde zudem eine regelmäßige Abstimmung mit der Datenschutzaufsichtsbehörde des Landes statt. Zu dem Vorwurf der Piraten, die Kundendaten lägen völlig unverschlüsselt und schutzlos auf den Tickets, sagt die Aseag – nichts.

Leserkommentare

Leserkommentare (8)

Sie schreiben unter dem Namen:



Diskutieren Sie mit!

Damit Sie Artikel kommentieren können, müssen Sie sich einmalig registrieren — bereits registrierte Leser müssen zum Schreiben eines Kommentars eingeloggt sein. Beachten Sie unsere Diskussionsregeln, die Netiquette.

Homepage aktualisiert

Finden Sie jetzt neue aktuelle Informationen auf unserer Startseite

Wieder zur Homepage

Die Homepage wurde aktualisiert