Ende des Jahres soll es in allen ICEs kostenloses Wlan geben. Dafür investiert das Unternehmen 100 Millionen Euro in neue Technik und reagiert auf die Konkurrenz. Passagiere in Fernbussen können schließlich schon heute während der Fahrt gratis E-Mails checken oder per Whatsapp chatten. In einigen ICEs wird der neue Service bereits getestet, zum Beispiel auf der Strecke von Berlin nach Hannover. Nun greift der Chaos Computer Club (CCC) die Bahn an: Ihr Wlan sei nicht sicher.
Falk Garbsch vom CCC aus Hannover hat das neue Gratis-Wlan im Zug ausprobiert. Er interessiert sich weniger dafür, wie gut die gestreamten Videos auf seinem Laptop aussehen, sondern für die Technik hinter dem Netzwerk - und kommt zu einem harten Urteil: "Bei aktueller Umsetzung lässt man den Browser im Zug vielleicht am besten einfach geschlossen." Denn Angreifer könnten sensible Nutzerdaten auslesen, etwa die IP- und Mac-Adresse oder die Position des Zuges. "Es lassen sich komplexe Bewegungsprofile der Nutzer erstellen", sagt Garbsch. "Bewegungsdaten sind sehr private Informationen. Werbeunternehmen oder andere Dienste können sie nutzen, mit den Gerätedaten kombinieren und sogar weiterverkaufen. So lässt sich unter anderem feststellen, wer mit wem unterwegs ist." Über den Datenverbrauch lässt sich zudem abschätzen, was die Nutzer im Zug tun, ob sie am Handy lesen oder ein Video schauen.
Um an die Daten zu gelangen kann eine Schwachstelle namens Cross-Site-Request-Forgery (CSRF) ausgenutzt werden. Hat ein Nutzer sich bei einem beliebigen Webdienst angemeldet, etwa einem E-Mail-Service, können Angreifer unerkannt Aktionen im Namen des Nutzers ausführen. Dafür muss dieser einen speziellen Link aufrufen, der zum Beispiel als infizierte Werbung oder Website geladen wird. Da der Nutzer noch eingeloggt ist, können die Angreifer über den Link zum Beispiel Spam-E-Mails versenden.
Grund für die Schwachstelle in den Zügen ist Garbsch zufolge eine vorgeschaltete Website, auf der die Nutzer den Geschäftsbedingungen zustimmen müssen, bevor sie das Internet verwenden können. Im Zweifelsfall sollten Bahnpassagiere ganz auf den Browser verzichten. Die Bahn hat noch am Donnerstag auf die Vorwürfe reagiert. Die Webseite t3n.de zitiert einen Sprecher mit den Worten: "Wir haben bereits begonnen, ein Softwareupdate aufzuspielen, so dass das Problem bis zum Ende des Tages bei allen Zügen behoben sein wird."
Zusätzlich zum Erstellen komplexer Bewegungsprofile gelten für das Wlan der Bahn dieselben Risiken wie bei anderen öffentlichen Netzwerken. Öffentliche Wlan-Hotspots sind in der Regel unsicherer als die Internet-Verbindung zu Hause - selbst dann, wenn sie mit einem Passwort geschützt sind. Schließlich teilt man sich das Netzwerk mit mehreren unbekannten Menschen. Das Bundesamt für Sicherheit in der Informationstechnik hat auf seiner Website mehrere Tipps zusammengestellt, wie sich Nutzer schützen können. So sollte die Wlan-Funktion nur genutzt werden, wenn die Nutzer sie auch benötigen. Vertrauliche Daten sollten User nicht über ein öffentliches Netzwerk abrufen. Sie sollten also mit der Überweisung lieber warten, bis sie zu Hause sind.
Abgesehen vom Datenschutz funktioniert das Wlan der Bahn offenbar ganz gut.
Einem Test der Wirtschaftswoche zufolge sei die Verbindung trotz hoher Geschwindigkeit meist stabil.
Wie gut das Netz funktioniert, wenn Dutzende Passagiere gleichzeitig darauf zugreifen, muss sich im Regelbetrieb zeigen. Sie sollten sich beim Surfen in jedem Fall bewusst sein, dass die Bahn beim Datenschutz wohl gespart hat.