Accountsicherheit bei der Deutschen Bahn

Liebe Lage,

aus persönlicher Betroffenheit heraus und weil euch ja Themen wie Sicherheit im Internet und Deutsche Bahn am Herzen liegen, möchte ich auf das Thema Sicherheit bei Online-Accounts der Deutschen Bahn aufmerksam machen.

Konkret geht es um folgende (aus meiner Sicht massive) Sicherheitslücke, deretwegen ich kürzlich selber Betrugsopfer geworden bin:
Bei Online-Accounts der Deutschen Bahn ist das Sicherheitsverfahren derart fehlerhaft (bzw. unzureichend), dass man, wenn man einmal das Passwort zu einem Benutzernamen/E-Mail-Adresse hat, sämtliche Accountdaten ändern kann. Das bedeutet, man kann nicht nur das Passwort ändern, sondern auch den Benutzernamen, die E-Mail-Adresse, Namen der dazugehörigen Person und die Postadresse. Und zwar OHNE, dass eine Verifizierung über die alte Mailadresse oder eine weitere Sicherheitsstufe (außer Captcha) verlangt wird. Nicht einmal eine Benachrichtigung erhält man an die alte Mailadresse. Das habe ich eben noch einmal mit dem Account einer Freundin versucht und es war auch dort so.
Eine Passwortrücksetzung oder Zugang zum eigenen Account durch den eigentlichen Eigentümer sind dann nicht mehr möglich, da die Login-Daten (Benutzer/PW) ganz neue sind.

Das bedeutet, dass bei einem Hack des Benutzerkontos dieses unbemerkt vom eigentlichen Account-Eigentümer vollständig verändert werden kann, und zwar (wie in meinem Fall) inklusive Zahlungsdaten wie Lastschrift-Mandaten. Dies hatte bei mir zur Folge, dass über einen Zeitraum von zwei Wochen täglich mehrere teure Tickets (bei mir 250 Euro täglich) von meinem Bankkonto abgebucht wurden, bis ich es gemerkt habe (denn die Abbuchung erfolgt oft erst deutlich später).

Der Kundenservice der Deutschen Bahn kümmerte sich zwar schnell um das Problem. Allerdings waren sämtliche Mitarbeiter dort überfordert, konnten sich den Vorfall nicht erklären und hatten auch erhebliche Probleme, mich zu identifizieren (da ja der Datenabgleich mit persönlichen Daten wie Geburtsdatum, Name, Adresse etc. nicht möglich war, denn die waren ja geändert worden). Außerdem war der Service nicht in der Lage, den entsprechenden Account zu löschen oder zu sperren (ohne Einwilligung des „Eigentümers“). Bekannt war dieses Problem offenbar ebenfalls nicht.

Unabhängig von meinem eigenen Ärgernis glaube ich, dass das ein großes, sehr relevantes Problem ist. Wenn man, wie ich in diesem Fall, nicht ordentlich sichere und verschiedene Passwörter wählt oder aus einem anderen Grund die Login-Daten geklaut werden, ist der Account sofort im Eimer und im Zweifel bereits viele Tickets gekauft–ein großer Schaden auch für die Bahn selbst. Für ein Unternehmen mit Millionen Kunden, die auch Zahlungsdaten dort hinterlegt haben, ist es schlicht nicht akzeptabel, dass keine Zwei-Faktor-Authentifizierung möglich ist und nicht einmal eine "Warn-"Email verschickt wird bei Accountänderungen, wie es bei Google, Amazon etc. Standard ist.

Ich freue mich, falls ihr euch dem annehmen oder mal bei der Bahn um ein Statement bitten wollt. Ebenso würde mich interessieren, ob es noch weitere Menschen hier im Forum gibt, die wegen dieser Lücke Probleme mit ihrem Bahn-Account hatten.

Lucas

3 „Gefällt mir“

Üble Geschichte und meiner Meinung nach ein definitiver Fall für den Bundesdatenschutzbeauftragten.

Mal hier öffentlich machen?

1 „Gefällt mir“