Gleich neben der Josefwiese in Zürich steht eine von 350 Publibike-Stationen der Schweiz. Über 3500 Velos sind mittlerweile in der Flotte und können in Bern, Zürich, Lausanne oder Lugano unkompliziert ausgeliehen werden. Dafür reichen eine schnelle Registrierung und ein Smartphone. Einmal angemeldet, wird das hinter dem Sattel angebrachte Schloss per Knopfdruck aufgeweckt. Dann muss bloss das Smartphone ans Gehäuse gehalten werden, und schon schnappt es auf.

Alternativ kann auch der eigene Swiss Pass – die Karte, auf der das Halbtax- beziehungsweise Generalabonnement der SBB gespeichert ist – ans Schloss gehalten werden. Denn die Karte verfügt über zwei sogenannte RFID-Chips, die das kontaktlose Identifizieren und Auslesen von Daten auf der Karte ermöglichen. Was viele nicht wissen: Der Swiss Pass lässt sich kinderleicht kopieren. Nicht einmal zwei Minuten dauert die Übertragung des sogenannten Unique Identifier (UID) auf eine Blankokarte. Diese UID ist eine Art Seriennummer und sorgt dafür, dass weltweit alle Karten voneinander unterscheidbar sind. Es sei denn, man klont die Karte inklusive UID. Dann kann auch das Velo von Publibike die Kopie nicht mehr vom echten Swiss Pass unterscheiden und öffnet bereitwillig das Schloss.

Kopieren leicht gemacht

Dieses Problem ist nicht neu. Die Chips im Swiss Pass werden von der niederländischen Firma NXP Semiconductors hergestellt. Diese baut unter anderem Chips für Bankkarten, Reisepässe und andere elektronische Ausweise. Und eben auch die Smart Cards für viele öffentliche Verkehrssysteme. Ein Verschlüsselungsalgorithmus sollte das Ganze eigentlich vor Manipulation und Kopie schützen. Doch bereits 2008 gelang es einer Forschungsgruppe der niederländischen Radboud-Universität Nijmegen, die Verschlüsselung zu knacken.

Seither wissen EntwicklerInnen, dass Smart Cards – und insbesondere deren UID – nicht absolut sicher sind. Mittlerweile gibt es diverse Tools, die das Klonen im Handumdrehen ermöglichen. Auch Blankokarten lassen sich einfacher besorgen, als Hersteller und Dienstleister es gerne hätten. Ein paar gute Kontakte zu chinesischen Lieferanten genügen, und schon hat man die sogenannten Magic Cards in der Hand. Es sind Karten, bei denen die sonst nicht überschreibbare UID verändert werden kann. Kostenpunkt pro Karte: ein paar Rappen.

SicherheitsexpertInnen sind deshalb nicht überrascht, dass sich die UID des Swiss Pass auf eine Blankokarte kopieren lässt. So erklärt ein Schweizer Forscher, der anonym bleiben möchte, dass die UID nie als Sicherheitsmerkmal definiert wurde. «Wenn es sicher sein soll, verwendet man die UID deshalb gar nicht. Stattdessen kommen zusätzliche Anwendungen zum Einsatz, um die Sicherheit zu gewährleisten», sagt er. Das ist auch bei der Ticketkontrolle der SBB in Tram, Zug und Bus der Fall. Dort findet zusätzlich zwischen Karte und Lesegerät ein kryptografisch abgesicherter Austausch statt, auf den bisher kein Angriff bekannt ist.

Anders sieht es etwa bei Publibike aus. Dort überprüft das Lesegerät lediglich, ob die UID richtig ist. Das ist auch bei Mobility der Fall. Reservierte Autos können mit einem Klon genauso gut geöffnet und geschlossen werden wie mit dem Swiss Pass. Das zeigt ein Video, das der WOZ zugespielt wurde. Im Gegensatz zu Publibike ist bei Mobility jedoch ein Benutzungsprofil nötig, um überhaupt ein Auto zu reservieren – eine Art Zwei-Faktor-Authentifizierung, um die unsichere UID zu ergänzen.

Doch wie relevant ist das Kopieren des Swiss Pass überhaupt? Ein plausibles Angriffsszenario wäre das Abgrasen jener Pässe, die an den Velostationen zum Einsatz kommen. Eine Angreiferin könnte vor Ort unauffällig ein Gerät installieren, um die Informationen aus wenigen Metern Entfernung auszulesen. Anschliessend könnte sie mit den kopierten Karten auf fremde Kosten Fahrräder ausleihen oder diese gar entwenden. Das sollte bei Publibike unschöne Erinnerungen hervorrufen. Bereits im August 2018 wurden aufgrund mangelhafter Schlösser Hunderte Fahrräder unbefugt ausgeliehen oder gestohlen.

Wieso wird diese Sicherheitslücke also nicht geschlossen, zumal das relativ einfach wäre, wie die Ticketkontrolle bei den SBB zeigt? Auch die Einführung eines zweiten Faktors zur Authentifizierung – etwa ein Code auf dem Handy oder ein Passwort – würde das Problem entschärfen. Offenbar wägen die Firmen zwischen den Kosten und dem Geschäftsmodell ab. Das bestätigen auch die Antworten der betroffenen Unternehmen. Der Tenor: Man kennt die Möglichkeit des Klonens der UID, doch man schätzt das Missbrauchsrisiko als gering ein.

Diese Einstellung zur Sicherheit bei digitalen Grossprojekten sei symptomatisch, sagt Marc Ruef von der IT-Sicherheitsfirma Scip. «Alle wissen, dass digitale Sicherheit wichtig ist», erläutert er. «Aber niemand gibt Geld dafür aus. Alle Unternehmen haben zu wenig Budget für Cybersicherheit. Doch dann muss man auch mit den Konsequenzen rechnen.» Solange der Ertrag und die Skalierbarkeit eines Angriffs jedoch klein seien, lohne sich das Schliessen einer bekannten Lücke oft nicht. Den Rest regelt die PR-Abteilung. Zudem werde oft auf Technologien gesetzt, deren Auswirkungen man noch gar nicht richtig einschätzen könne. «Wir können nicht eine neue Technologie ins Boot holen und dann herumjammern, wenn ein Rattenschwanz mitkommt», sagt Ruef. «Wir denken heute die Lösungen nicht fertig.»

Am Ende bleibt der eingesparte Aufwand dann oft an den KundInnen hängen. Sie vertrauen den Dienstleistungen, ohne die Funktionsweise und Hintergründe genau zu verstehen. Und bei einem Identitätsdiebstahl wie beim Swiss Pass liegt die Beweislast ganz bei ihnen – selbst wenn die Firmen behaupten, sich kulant zeigen zu wollen. Denn: «Ein Unternehmen kann normalerweise nicht wissen, dass eine digitale Identität missbraucht wurde», erklärt Rechtsanwalt Martin Steiger. «Betroffene müssen dann glaubhaft machen, dass jemand die eigene digitale Identität missbraucht hat und dass sie keine Sorgfaltspflichten verletzt haben.» Das bedeute aber in jedem Fall einen beträchtlichen Aufwand.

Bleibt die Lücke offen?

Aufgrund der WOZ-Recherchen wollen die SBB nun mit den Partnerdiensten «sofort den Buchungs- und Freigabeprozess für Dienstleistungen» zu prüfen beginnen, wie die Medienstelle mitteilt. Heisst das, dass die Lücke geschlossen wird? Das bleibt fraglich. Publibike erklärt, dass der Veloverleih bisher «rund ein Dutzend Mal» betroffen gewesen sei. Der angerichtete Schaden sei überschaubar. Zudem bräuchte es wohl ein Technologieupgrade, das hohe Kosten verursacht. Entsprechend schreibt Publibike: «Die Schliessung dieser Lücke ist im Verhältnis zum dazu benötigten Aufwand zum aktuellen Zeitpunkt für Publibike nur in beschränktem Masse relevant.»

Natürlich geht die Schweiz nicht unter, wenn Publibike diese Sicherheitslücke nicht schliesst. Die Mentalität, die hinter dieser Entscheidung steht, dürfte mehr zu denken geben – gerade im Hinblick auf digitale Grossprojekte, bei denen potenziell viel mehr auf dem Spiel steht. So etwa beim elektronischen Ausweis Swiss ID, dessen Einführung der Ständerat jüngst mit grossem Mehr durchgewinkt hat.