Categories: MobileWLAN

Test-WLAN der Deutschen Bahn: Experte rät zur Vorsicht

Das WLAN-Angebot, das im Zuge des WLAN-Ausbaus der Bahn auf einigen Strecken in ICE-Zügen in den Wagen der zweiten Klasse bereits testweise zur Verfügung steht, ist wohl nicht ohne Weiteres sicher nutzbar. Derzeit ist es möglich, ohne Eingabe eines Passworts darauf zuzugreifen.

„Andere Passagiere im Zug, die auch mit der kostenlosen WLAN-Testversion der Deutschen Bahn verbunden sind, können Sie mit Hilfe von leicht zugänglichen, kostenlosen Tools ausspionieren“, erklärt Filip Chytry, Sicherheitsexperte bei Avast. Er rät zur Nutzung eines VPN-Tools, um Spionageversuche abzuwehren.

Anmeldeseite des Test-WLANs der Deutschen Bahn (Screenshot: Avast)

„Öffentlich zugängliches WLAN ist eine der Hauptgefahren, da die Nutzer diese Bedrohung oft unterschätzen. In einer Umfrage haben wir herausgefunden, dass 71 Prozent der befragten Deutschen frei zugängliche WLAN-Netzwerke, die keine Registrierung oder kein Passwort zur Verbindung benötigen, bevorzugen“, so Chytry weiter. Von den Umfrageteilnehmern verwenden nur 9 Prozent aber einen VPN-Dienst. Öffentliche WLAN-Netzwerke seien jedoch ein einfaches Einfallstor für Angreifer. Den Nutzern sei dagegen meist nicht bewusst, dass all ihre persönlichen Daten auf den verwendeten Geräten schutzlos ausgeliefert sind, wenn sie sich bei einem öffentlichen WLAN-Netzwerk ohne Sicherheitsschutz anmelden.

Wie die Deutsche Bahn heute nachmittag unseren Kollegen von silicon.de auf deren Anfrage mitgeteilt hat, wird das WLAN im ICE auch nach dem Test keine Passwörter oder Nutzerdaten beim Log-in abfragen. Allerdings habe die Deutsche Bahn und ihr Zulieferer Icomera „einige Sicherheitsmerkmale eingebaut, die das WLAN-Surfen im ICE deutlich sicherer machen als in ähnlichen Netzwerken, die in Cafés und öffentlichen Bereichen zu finden sind“, wie ein Sprecher gegenüber silicon.de mitgeteilt hat. Dazu gehöre zum Beispiel die IP Client Isolation, die unbemerktes Zugreifen von einem auf den anderen WLAN-Teilnehmer unterbinden.

„Trotzdem kann die DB nicht garantieren, dass die WLAN-Verbindungen komplett sicher sind und Kommunikationsverbindungen nicht aufgefangen werden können. Fahrgäste sind allein verantwortlich für den Einsatz von Sicherheitsmaßnahmen, die für die beabsichtigte Nutzung des WLAN-Systems im ICE geeignet sind, wozu der Schutz ihrer Daten und Einrichtungen vor Viren, Spyware und anderen schädlichen Einflüssen gehört“, so der Sprecher weiter. Die von Avast empfohlen Nutzung eines VPNs oder auch anderer Maßnahmen zur sicheren Nutzung von öffentlichen WLANs sind also durchaus empfehlenswert. Die Bahn selbst empfiehlt zur Erhöhung der Sicherheit zum Beispiel „eine VPN-Verbindung bei der Versendung von Daten oder das ausschließliche Surfen auf https-Seiten.“

Kritik an der Implementierung des WLAN-Zugangs bei der Deutschen Bahn gab es schon im Oktober. Der Nutzer Nexus, ein Mitglied des Chaos Computer Clubs, hatte damals darauf aufmerksam gemacht, dass die Absicherung gegen Cross-Site-Request-Forgery-Angriffe (CSRF) fehlt. Die versprach die Bahn nach der Veröffentlichung des Sachverhalts noch am selben Tag durch ein Software-Update zu gewährleisten.

Um auf das WLAN in Zügen der Deutschen Bahn zugreifen zu können, muss zunächst eine Startseite aufgerufen werden, wie es bei derartigen Angeboten üblich ist. Im Fall der Bahn ist das wifionice.de.. Dort muss der Nutzer über einen Button bestätigen, dass die Geschäftsbedingungen akzeptiert werden. Dazu wird eine Anfrage an die Domain omboard.info gesendet, die IP-Adresse und MAC-Adresse des verwendeten Endgeräts abfragt und für die WLAN-Nutzung freischaltet.

Da das Verfahren auf die für solche Cross-Site-Requests (also Anfragen an andere Sites) erforderlichen Sicherheitsmaßnahmen (das Mitsenden eines Tokens) verzichtet hatte, war es angreifbar: Der Code für CSRF-Angriffe konnte in beliebige Websites eingebettet werden. Dadurch ließen sich etwa die für die WLAN-Verbindung zur Verfügung gestellten Statusinformationen ausspähen und eventuell Bewegungsprofile von Nutzern erstellen.

[Mit Material von Peter Marwan, silicon.de]

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago