Aachen - Datenleck bei der Aseag: Transparenz an der ganz falschen Stelle

Staukarte

Datenleck bei der Aseag: Transparenz an der ganz falschen Stelle

Von: Sarah-Lena Gombert
Letzte Aktualisierung:
16009729.jpg
Mit einer kostenlosen App, die für jedermann erhältlich ist, lassen sich die Kundendaten auf den E-Tickets der Aseag in Bruchteilen von Sekunden auslesen. Dass bei dem neuen Fahrkartensystem ohne Verschlüsselung gearbeitet wird, kritisieren Aachens Piraten heftig. Foto: Harald Krömer

Aachen. Ein Name, eine Kundennummer, und die Art des Tickets: Diese Informationen sind beispielsweise auf dem neuen digitalen Semesterticket abgedruckt, das Aachener Studenten seit dem 8. Januar benutzten müssen. Auf dem Chip, der im neuen E-Ticket von Aseag beziehungsweise AVV steckt, sind jedoch noch weitreichendere Angaben gespeichert: Das Geburtsdatum des Karteninhabers, zum Beispiel.

Und auch – sofern er die neuen Lesegeräte in den Bussen genutzt hat – das persönliche Streckenprofil. Wie die Aachener Piratenpartei herausgefunden hat, sind die Daten auf den E-Tickets unverschlüsselt hinterlegt. Das bedeutet: Jeder, der möchte, kann das Ticket auslesen und Datenmissbrauch betreiben. Die Piraten haben sich nun an die Landesdatenschutzbeauftragte gewandt – und raten den Kunden der Aseag, die Lesegeräte in den Bussen nicht zu nutzen. Und das Problem ist möglicherweise weit größer als das Gebiet der Aseag.

„Das ist in unseren Augen ein Skandal“, sagt der Pirat und Aachener Ratsherr Marc Teuku im Gespräch mit unserer Redaktion. „Die Daten der Aseag-Kunden liegen ungeschützt auf den E-Tickets.“ Gemeinsam mit Parteikollege Matthias Achilles führt er vor, wie einfach man an die Infos auf dem Ticket kommt. Über eine App, die sowohl für Android als auch iOS-Smartphones kostenlos zu bekommen ist, kann der Chip auf der Karte ausgelesen werden, alle Daten sind in Sekundenbruchteilen auf dem Handy lesbar. „Das ist so, als würde man einen Brief ohne Briefumschlag verschicken“, sagt Marc Teuku.

Keinerlei Verschlüsselung

„Die Piratenpartei hat daraufhin die NRW-Landesdatenschutzbeauftragte Helga Block informiert, welcher über den Sachverhalt schockiert war“, erklärt Marc Teuku. Schockiert habe sich Block darüber gezeigt, dass die gespeicherten Daten „nicht einmal ein Mindestmaß an Verschlüsselung aufweisen“. Der Fall sei nun auch an den Bundesdatenschutzbeauftragten weitergeleitet worden, ergänzt Matthias Achilles, da es sich beim Verkehrsverbund AVV, dem die Aseag angehört, um ein privatwirtschaftlich agierendes Unternehmen handele.

Für die Aachener Piraten ist der Skandal ein Fall mit Ansage. Achilles, der verkehrspolitischer Sprecher der Aachener Gruppe ist, meint: „Wir haben frühzeitig unsere Bedenken in Sachen Datensicherheit geäußert, aber unsere Bedenken wurden offensichtlich nicht ernst genommen.“ Hier sei nur auf ein Mindestmaß an Funktionalität geachtet worden, statt das technisch Mögliche in Sachen Informationssicherheit und Verschlüsselung zu nutzen.

Ob die 120.000 ausgegebenen E-Tickets nachträglich verschlüsselt werden können, oder ob die Tickets ausgetauscht werden müssen, müsse der Hersteller der Aseag beantworten können, so die Piraten. Fest steht für die Partei jedoch, dass nachgebessert werden muss, „auch wenn die verschlüsselten Tickets wahrscheinlich teurer sind als die unverschlüsselten.“

Auf Nachfrage unserer Redaktion erklärt Paul Heesel, Pressesprecher der Aseag, dass sowohl die Aseag als auch der AVV den „deutschen E-Ticket-Standard (VDV-Kernapplikation)“ nutzten und sich damit an die datenschutzrechtlichen Regelungen hielten. „Dieser Standard ist sehr abstrakt gehalten“, sagt Achilles. Von der dort geforderten Datensparsamkeit könne er allerdings nicht viel erkennen, wenn auf dem E-Ticket Klarnamen, Geburtsdatum sowie Streckenprofil hinterlegt sind. „Das Streckenprofil wird doch erst dann interessant, wenn auch Einzeltickets in digitaler Form angeboten werden und entwertet werden müssen“, sagt Achilles.

Wie die Daten auf dem Ticket gespeichert werden und wie sie gelesen werden können, sei mit dem Aseag-Datenschutzbeauftragten abgestimmt, so Paul Heesel. Um darüber hinaus die Sicherheit des Systems sowie die datenschutzrechtliche Zulässigkeit der Erhebung, Speicherung, Verarbeitung und Nutzung personenbezogener Daten im Rahmen des E-Tickets zu gewährleisten, finde eine regelmäßige Abstimmung mit der zuständigen Datenschutzaufsichtsbehörde des Landes statt.

„Wir sind sehr gespannt auf die Rückmeldung der Datenschutzbeauftragten – und auch darauf, was die Aseag und der AVV gegen das Datenleck unternehmen werden“, sagt Marc Teuku. Denn dass etwas passieren muss, steht für die Piraten außer Frage.

Leserkommentare

Leserkommentare (5)

Sie schreiben unter dem Namen:



Diskutieren Sie mit!

Damit Sie Artikel kommentieren können, müssen Sie sich einmalig registrieren — bereits registrierte Leser müssen zum Schreiben eines Kommentars eingeloggt sein. Beachten Sie unsere Diskussionsregeln, die Netiquette.

Homepage aktualisiert

Finden Sie jetzt neue aktuelle Informationen auf unserer Startseite

Wieder zur Homepage

Die Homepage wurde aktualisiert