Elektronisches GA

04. August 2015 14:12; Akt: 04.08.2015 15:31 Print

Wie sicher ist der neue Swiss Pass der SBB?

von Ph. Stirnemann - Neu gibt es für SBB-Kunden den Swiss Pass. Doch das System birgt Risiken: Verliert ein Kondukteur den Scanner, kann das böse Folgen haben.

storybild

Wer sich ein GA oder Halbtax-Abo der SBB kauft, bekommt seit dem 1. August 2015 den auf RFID-Technologie basierenden roten Swiss Pass. (Bild: SBB)

Zum Thema
Fehler gesehen?

Rot statt blau, digital statt analog: In etwa so könnte man den seit dem 1. August erhältlichen Swiss Pass der SBB umschreiben. Er ersetzt die bisherigen GA und Halbtax-Abos. Wie bereits bei Kreditkarten oder biometrischen Reisepässen üblich, werden Kundendaten direkt auf dem Swiss Pass abgespeichert.

Um die Kontrollen im Zug zu vereinfachen, werden die Abos über elektromagnetische Wellen (Radiofrequenzidentifikation, kurz RFID) identifiziert. Dazu braucht es zwei Komponenten: Einen im Swiss Pass eingebauten RFID-Chip sowie einen Scanner, der die auf dem Plastikbillett gespeicherten Daten liest und den der Kondukteur stets bei sich trägt.

«Dummes» System

Das ist nicht unproblematisch: Gemäss den Sicherheitsexperten der Zürcher Scip AG übermitteln die im Swiss Pass verbauten RFID-Chips ihre Daten an jeden Scanner. Scip bezeichnet RFID als «passives und dummes» System. Der Grund: Es sei nicht intelligent genug, zwischen den verschiedenen Anfragen und Absendern zu unterscheiden. Es antworte immer, wenn es angesprochen werde – ohne nachzuprüfen, wer genau die auf der Karte gespeicherten Daten abfragt, heisst es auf der Website von Scip.

Aus diesem Grund sei es praktisch jedem möglich, mithilfe eines im Internet gekauften Scanners die auf dem Swiss Pass gespeicherten Daten abzugreifen. Dafür müsse man sich gemäss Scip einfach mit entsprechender Hardware aufs Perron stellen, und schon könne man Daten sammeln.

«Swiss Pass erfüllt höchste Sicherheitsstandards»

Allerdings wenden die SBB gemäss Scip einen «schlauen Trick» an, um Unbefugten den Zugriff auf heikle Kundendaten zu verunmöglichen: Auf dem Swiss Pass sei nur eine technische Nummer abgespeichert. Alle anderen Angaben des Reisenden seien auf einem SBB-Server hinterlegt und würden bei der Billettkontrolle mit der vom RFID-Chip ausgegebenen Kundennummer abgeglichen. So erhalte der Kondukteur die für die Kontrolle benötigten Infos.

«Die auf dem Swiss Pass eingebettete, technische Nummer enthält keinen Kundenbezug. Identitätsdiebstahl funktioniert mit dem Swiss Pass nicht», bestätigt SBB-Pressesprecherin Lea Meyer. Die eingebauten Chips enthielten ein elektronisches Zertifikat, das von den SBB signiert sei und nicht gefälscht werden könne. Die Swiss-Pass-Technologie erfülle höchste Sicherheitsanforderungen.

Sicherheitsrisiko SBB-Scanner

Das weitaus grössere Sicherheitsrisiko sieht Marc Ruef von Scip denn auch in der zentralen Zusammenlegung und Verknüpfung der Swiss-Pass-Kundendaten auf einem SBB-Server: «Ein unerwünschter Zugriff auf die zentrale Datenbank hätte verheerende Folgen», so Ruef.

Ein weiteres Risiko: Die Datenbank wird als Offline-Kopie auf die Lesegeräte der Kondukteure synchronisiert, um Passagiere auch in Gebieten ohne Internet-Zugang kontrollieren zu können. Kommt nun ein Scanner abhanden, fällt dem Finder die gesamte Datenbank in die Hände. Das Lesegerät sei jedoch verschlüsselt und mit einem Passwort geschützt, versichert Meyer. Zudem seien nur rudimentäre Daten aber keine Adress- oder Finanzdaten der Kunden gespeichert.

Kommentarfunktion geschlossen
Die Kommentarfunktion für diese Story wurde automatisch deaktiviert. Der Grund ist die hohe Zahl eingehender Meinungsbeiträge zu aktuellen Themen. Uns ist wichtig, diese möglichst schnell zu sichten und freizuschalten. Wir bitten um Verständnis.

Die beliebtesten Leser-Kommentare

  • IT Freak am 04.08.2015 14:23 Report Diesen Beitrag melden

    unschön

    und das Passwort für den Scanner ist SBB :-)

  • Kuno am 04.08.2015 14:27 via via Mobile Report Diesen Beitrag melden

    Schwarzfahren

    Und man kann der Ticketkontrolle noch besser ausweichen! Der Der KontrolleurIn braucht viel länger!

  • PascalK2015 am 04.08.2015 15:03 Report Diesen Beitrag melden

    HMMMM

    Oder das Passwort ist die 1111 oder 0000 oder Passswort :-) Das ist ja alles schön und gut, ABER, davon werden die Billetteautomaten auch nicht einfacher. Oder was löst ihr wenn man von Bern HB nach Zürich HB fahren möchte. Brauche ich da 10 Auswahlmöglichkeiten, obwohl das Ziel und Start bekannt ist????? Ist mir doch Schnurz wo ich durchfahren kann. ICH WILL DOCH EINFACH VON A NACH B KOMMEN

    einklappen einklappen

Die neusten Leser-Kommentare

  • ZöllNer am 05.08.2015 20:31 via via Mobile Report Diesen Beitrag melden

    SwissPassPort?

    Ich frage mich, wie lange es dauern wird, bis ein (Flug)Passagier am Flughafenzoll in Kloten, Genf oder Basel mit dem neuen, roten SwissPass bei der Ausreise zurückgewiesen wird und zu Hause bleiben muss ;-)

  • Reto am 05.08.2015 16:08 via via Mobile Report Diesen Beitrag melden

    Gute Idee!

    Das Ziel wird sein, dass man in Zukunft sämtliche Tickets für den ÖV, Skigebiet, Konzerte, usw. auf seinem SwissPass hinterlegen kann. Einmal registriert, wird man über seinen Kundenzugang im Internet diese Tickets erwerben können und über diese Nummer auf dem Pass können diese dann am Eingang, im Zug, am Drehkreuz,... wieder abgerufen werden. Gebt dem System doch eine Chance?! War das damals auch so ein Hallo als das Halbtax nicht mehr auf Papier war???

  • Bibi am 05.08.2015 12:46 via via Mobile Report Diesen Beitrag melden

    extrem unnötig

    Warum einfach wenn es auch Kompliziert geht, das neue Motto der SBB mit dem alten Halbtax musste der Kontrolleur nur ein kurzen Blick auf die Karte werfen und jetzt jede einzelne in die Handy nehmen damit man das was früher auf der Karte stand auf dem Gerät ablesen kann! Ich frag mich wer wohl auf diese Schnapsidee gekommen ist

  • Heinz Gaf am 05.08.2015 10:44 Report Diesen Beitrag melden

    vom Märchen der Distanz...

    Gemäss den Spezifikationen handelt es sich um sogenannte NFC (Near Field Communication), die auf ein paar Zentimeter zuverlässig arbeitet. Da ist das "auf das Perron stehen" ein Ammenmärchen - oder las man von diesem Unternehmen dieselben Sätze bei der Einführung der kontaktlosen Skiabonnements oder Kreditkarten? Anscheinend wird beim öffentlichen Verkehr im Vergleich zur Privatwirtschaft mit unterschiedlichen Ellen gemessen - eigentlich schade.

  • Hans Meier am 05.08.2015 10:39 via via Mobile Report Diesen Beitrag melden

    Gleis7

    SwissPass hin oder her. Was mich stört ist, dass ich mein Gleis7 jetzt wieder separat mitschleppen muss und nicht mit dem Halb-Tax kombinieren kann.