Aktualisiert 04.08.2015 15:31

Elektronisches GAWie sicher ist der neue Swiss Pass der SBB?

Neu gibt es für SBB-Kunden den Swiss Pass. Doch das System birgt Risiken: Verliert ein Kondukteur den Scanner, kann das böse Folgen haben.

von
Ph. Stirnemann
Wer sich ein GA oder Halbtax-Abo der SBB kauft, bekommt seit dem 1. August 2015 den auf RFID-Technologie basierenden roten Swiss Pass.

Wer sich ein GA oder Halbtax-Abo der SBB kauft, bekommt seit dem 1. August 2015 den auf RFID-Technologie basierenden roten Swiss Pass.

Rot statt blau, digital statt analog: In etwa so könnte man den seit dem 1. August erhältlichen Swiss Pass der SBB umschreiben. Er ersetzt die bisherigen GA und Halbtax-Abos. Wie bereits bei Kreditkarten oder biometrischen Reisepässen üblich, werden Kundendaten direkt auf dem Swiss Pass abgespeichert.

Um die Kontrollen im Zug zu vereinfachen, werden die Abos über elektromagnetische Wellen (Radiofrequenzidentifikation, kurz RFID) identifiziert. Dazu braucht es zwei Komponenten: Einen im Swiss Pass eingebauten RFID-Chip sowie einen Scanner, der die auf dem Plastikbillett gespeicherten Daten liest und den der Kondukteur stets bei sich trägt.

«Dummes» System

Das ist nicht unproblematisch: Gemäss den Sicherheitsexperten der Zürcher Scip AG übermitteln die im Swiss Pass verbauten RFID-Chips ihre Daten an jeden Scanner. Scip bezeichnet RFID als «passives und dummes» System. Der Grund: Es sei nicht intelligent genug, zwischen den verschiedenen Anfragen und Absendern zu unterscheiden. Es antworte immer, wenn es angesprochen werde – ohne nachzuprüfen, wer genau die auf der Karte gespeicherten Daten abfragt, heisst es auf der Website von Scip.

Aus diesem Grund sei es praktisch jedem möglich, mithilfe eines im Internet gekauften Scanners die auf dem Swiss Pass gespeicherten Daten abzugreifen. Dafür müsse man sich gemäss Scip einfach mit entsprechender Hardware aufs Perron stellen, und schon könne man Daten sammeln.

«Swiss Pass erfüllt höchste Sicherheitsstandards»

Allerdings wenden die SBB gemäss Scip einen «schlauen Trick» an, um Unbefugten den Zugriff auf heikle Kundendaten zu verunmöglichen: Auf dem Swiss Pass sei nur eine technische Nummer abgespeichert. Alle anderen Angaben des Reisenden seien auf einem SBB-Server hinterlegt und würden bei der Billettkontrolle mit der vom RFID-Chip ausgegebenen Kundennummer abgeglichen. So erhalte der Kondukteur die für die Kontrolle benötigten Infos.

«Die auf dem Swiss Pass eingebettete, technische Nummer enthält keinen Kundenbezug. Identitätsdiebstahl funktioniert mit dem Swiss Pass nicht», bestätigt SBB-Pressesprecherin Lea Meyer. Die eingebauten Chips enthielten ein elektronisches Zertifikat, das von den SBB signiert sei und nicht gefälscht werden könne. Die Swiss-Pass-Technologie erfülle höchste Sicherheitsanforderungen.

Sicherheitsrisiko SBB-Scanner

Das weitaus grössere Sicherheitsrisiko sieht Marc Ruef von Scip denn auch in der zentralen Zusammenlegung und Verknüpfung der Swiss-Pass-Kundendaten auf einem SBB-Server: «Ein unerwünschter Zugriff auf die zentrale Datenbank hätte verheerende Folgen», so Ruef.

Ein weiteres Risiko: Die Datenbank wird als Offline-Kopie auf die Lesegeräte der Kondukteure synchronisiert, um Passagiere auch in Gebieten ohne Internet-Zugang kontrollieren zu können. Kommt nun ein Scanner abhanden, fällt dem Finder die gesamte Datenbank in die Hände. Das Lesegerät sei jedoch verschlüsselt und mit einem Passwort geschützt, versichert Meyer. Zudem seien nur rudimentäre Daten aber keine Adress- oder Finanzdaten der Kunden gespeichert.

Deine Meinung

Fehler gefunden?Jetzt melden.