von ,
Twittern 18 Teilen 2

Bahn.de mit Sicherheitslücke – Bahn reagiert verspätet

Die Website der Deutschen Bahn bahn.de hat eine XSS-Sicherheitslücke. Entdeckt wurde das von Manuel Blechschmidt, der sich dann wohl dachte: Okay, kommt vor, ich melde das mal der Bahn und die kümmern sich schon! Das war dann allerdings ein Trugschluss, denn zunächst kam keine Reaktion und erst durch einen Artikel bei netzpolitik.org kam Bewegung in die Bahn. Wer jetzt Parallelen zu verspäteten Zügen zieht, ist ein Schelm.

Eingeloggte User von Bahn.de gefährdet

deutschebahn 48351
Nach vielen Problemen mit der ICE-Flotte hat die Bahn auch bei der Sicherheit auf ihrer Website Bahn.de Verspätung. (Foto: mattbuck4950 / flickr.com, Lizenz: CC-BY-SA)

Bei der durch Zufall gefundenen Lücke auf bahn.de handelt es sich um eine sogenannte Cross-Site-Scripting-Lücke (XSS-Lücke), die es Angreifern möglich macht, eigenen Code zu übergeben und ausführen zu lassen. Damit lassen sich dann beispielsweise Login-Tokens auf einen externen Server transferieren und anschließend auch nutzen, wie es bei netzpolitik.org heißt. Das Gefährdungspotenzial sei damit ähnlich wie bei Firesheep: Gekaperte Session-Cookies erlauben die Verwendung fremden Accounts, von der Änderung der Passwörter bis hin zur Buchung von Tickets.

Den Missbrauch dieser Sicherheitslücke wollte Manuel Blechschmidt verhindern und meldete sie daher bei der Deutschen Bahn. In seinem Brief machte er auf die Bedeutung der Lücke aufmerksam und wünschte sich eine Rückmeldung innerhalb einer Woche. Eigentlich nicht zu viel verlangt und ausreichend Zeit, um die Sicherheitslücke schließen zu lassen. Dennoch hatte die Bahn Verspätung und reagierte nicht innerhalb einer Woche. Vielleicht gab es wichtigere Dinge, wir wissen es nicht.

Erst nach dem Artikel auf netzpolitik.org reagierte die Bahn mit einem Tweet:

Bahn de Tweet
Mit diesem Tweet reagierte die Deutsche Bahn dann doch noch auf die Sicherheitslücke von Bahn.de.

Kommentar zur Sicherheitslücke auf bahn.de:

Im täglichen Bahnverkehr gibt es immer wieder Vorkommnisse, die die Deutsche Bahn nicht beeinflussen kann, so dass man dort auch mit den wiederkehrenden Verspätungen leben muss. Ein im Sturm auf die Schienen gekippter Baum muss halt erst beseitigt werden. Das macht die Bahn dann auch mit hoher Dringlichkeit und nach maximal zwei Stunden kann der Verkehr in der Regel wieder fließen.

Für die Sicherheit einer Website, die täglich von sehr vielen Kunden genutzt wird, sollte ebenfalls die höchste Dringlichkeitsstufe gelten und Sicherheitslücken als auf den Gleisen liegender Baum eingestuft werden. Verspätungen in diesem Bereich sollten vermieden werden, denn sonst wäre schnell ein Sturm das Ergebnis und nicht die Ursache.

Update: Die Sicherheitslücke auf bahn.de ist geschlossen

Jetzt hat es also doch nicht lange gedauert und die Deutsche Bahn hat die Sicherheitslücke auf ihrer Website Bahn.de geschlossen:

Bahn de Sicherheit fix
Per Tweet informierte die Deutsche Bahn über die jetzt wieder sichere Website Bahn.de.

Weiterführende Links zum Thema Bahn:

Schau dir doch unsere Neusten Artikel und News an.

Kommentare: 5 Tweets: 18 Facebook-Likes: 2
07.07.2011

Das interessiert dich bestimmt auch

5 Answers

  1. von Heiko Webers 07.07.2011 (15:56Uhr) 1.

    Kleiner Schreibfehler oben in der Mitte, XXS statt XSS.

  2. von Falk Hedemann 07.07.2011 (15:58Uhr) 2.

    Danke Heiko, ist korrigiert ;-)

  3. von Frank Lutterloh via facebook 07.07.2011 (18:52Uhr) 3.

    Das die Bahn sich verspätet, ist doch nichts neues. ;-)

  4. von Manuel Blechschmidt 08.07.2011 (15:19Uhr) 4.

    Am 8.7. um 11:53 (also vor circa 4 Stunden) wurde ein Hotfix eingespielt, der die Lücke behebt. Ich kann dies bestätigen.

  5. von felix 08.07.2011 (23:11Uhr) 5.

    @Manuel: Glückwunsch, aber bei so einer Seite erwartet man eine Lösung bei so einem "normalem" Problem sofort.. abgesehen davon, ist das Cross Skripting doch nichts neues.. sowas sollte man von Anfang an checken.. fail -.-

Deine Meinung


(wird nicht veröffentlicht)