Überlastete Server, eine weit offene Hintertür und ein gewaltiges Datenleck – im Rahmen des deutsch-französischen Freundschaftspasses kam es zu etlichen Pannen. Einmal mehr zeigt sich, wie holprig es an vielen Stellen bei der Digitalisierung staatlicher Angebote läuft.
Mit der Aussicht auf insgesamt 60.000 kostenlose Bahntickets riefen vergangenen Montag viele junge Menschen pünktlich zum Startschuss um 10 Uhr die Startseite des deutsch-französischen Freundschaftspasses auf. Es galt, schnell zu sein. Denn die Tickets wurden nach dem Prinzip „first come, first served“ vergeben. Doch die digitale Infrastruktur der Seite war weder dem Ansturm gewachsen noch ausreichend gesichert, wie Forscher*innen des Kollektivs zerforschung herausfanden. Bei ihren Recherchen fanden sie überraschenderweise obendrein weitere klaffende Sicherheitslücken bei einem ähnlichen Angebot.
Der Freundschaftspass ist eine Initiative zur Feier des 60. Jahrestages der Unterzeichnung des Élysée-Vertrags. Er soll die deutsch-französische Freundschaft stärken. Dafür wurden jeweils 30.000 kostenlose Tickets an deutsche und französische Bürger*innen im Alter von 18 und 27 Jahren verteilt. Zwischen Juli und Dezember können Inhaber*innen des Passes einen Monat lang im jeweils anderen Land kostenfrei Zug fahren.
Großer Ansturm, miserable Umsetzung
Die Server waren durch den großen Ansturm am Montag jedoch völlig überlastet und deshalb mehrere Stunden nicht erreichbar. Die allermeisten Interessierten sahen lediglich eine Fehlermeldung. Nur wenige hatten Glück und konnten einen der begehrten Pässe ergattern. Auf der Website vermeldete das Digitalministerium derweil, der Freundschaftspass sei „Opfer seines Erfolgs“ geworden.
Das Kollektiv zerforschung kritisiert hingegen, überlastete Server seien „kein Zeichen für den Erfolg einer Aktion, sondern ein Zeichen für Versagen bei der Planung.“ Es sei von Anfang an klar gewesen, dass der Ansturm groß ausfallen werde. Anbieter gefragter Konzert- oder Festivaltickets bewiesen zudem regelmäßig, dass die Umsetzung eines solchen Angebots technisch möglich sei.
Eine weit offene Hintertür
Wer das technische Know-how hatte, konnte den Ticketstau jedoch umgehen und sich mit Hilfe einer Sicherheitslücke auch noch Tage später eigenhändig einen Pass generieren. Zerforschung gelang es, sich über einen „Hintereingang“ anzumelden und so einen Pass zu erhalten, obwohl eigentlich bereits alle vergeben waren. Statt aber nach dem 30.000. Ticket keine weitere Buchung mehr zuzulassen, wurde lediglich das entsprechende Formular auf der Seite ausgeblendet. Personen, die den Bestellvorgang begonnen, aber noch nicht abgeschlossen hatten, konnten die Buchung über einen speziellen Link beenden.
Mit einem einfachen Kommando ließ sich dieser Code auch ohne individuellem Link generieren. Zwar wurde, nachdem zerforschung die Lücke bei der zuständigen Stelle gemeldet hatte, ein Hinweis darauf, dass man keine Pässe mehr buchen könne, vor die „Hintertür“ platziert. Geschlossen war die Lücke dadurch jedoch nicht. So war es weiterhin möglich, über eine direkte Anfrage an die Bestell-Schnittstelle einen Pass zu bekommen – laut Zeit Online auch noch am Donnerstag. Kurz danach wurde die Lücke endgültig geschlossen, wie Eurail gegenüber zerforschung mitteilte.
Gravierende Sicherheitsrisiken
Im Rahmen der Recherche stießen zerforschung auf weitere Probleme. Hatten Nutzer*innen nämlich ihr Passwort vergessen, erhielten sie einen fehlerhaften Reset-Link zugeschickt, der auf eine unregistrierte Website führte. Jede Person hätte diese Anwendungsadresse „kapern“ können und so gezielt Phishing betreiben können, wie zerforschung berichtet. Glücklicherweise registrierte die Person, die den Fehler fand, die Anwendung selbst und informierte anschließend die Verantwortlichen.
Darüber hinaus fand zerforschung ein riesiges Datenleck bei DiscoverEU. Dort werden – ähnlich wie Freundschaftspass – Interrailtickets an 18-Jährige verlost. Auf vergleichbare Weise und über die gleiche API ließen sich auch dort Nutzer*innenkonten anlegen und auf die Daten von mehr als 240.000 registrierten Nutzer*innen zugreifen. Dabei konnten die Forscher*innen die Namen, E-Mailadressen, Herkunftsländer und die Bestelldetails einsehen. Beide Programme hat die belgische Marketingagentur MCI Brussels umgesetzt. „Es ist erschütternd, dass hier so nachlässig gearbeitet wurde“, kritisiert Zerforschung, „– und das anscheinend einfach so hingenommen wird.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
0 Commentaires