Wer online sicher kommunizieren will, sollte verschlüsseln. Eine Botschaft, die vor allem seit Edward Snowdens NSA-Enthüllungen um die Welt gegangen ist. Doch Verschlüsselung ist nicht nur beim Austausch von Nachrichten wichtig, sondern freilich auch zur Absicherung anderer Daten. Dass etwa Passwörter kryptografisch gesichert werden sollten, gilt seit Jahren als "state of the art".

Allerdings finden sich dennoch immer wieder Ausreißer. Nun etwa Citybike Wien, betrieben vom einst im Eigentum der Stadt Wien gestandenen Werbekonzern Gewista. Die Webplattform des urbanen Radverleihs mit knapp einer Million Nutzern speichert Kundenpasswörter im Klartext.

Name, Adresse, Fahrten

Feststellbar ist das recht einfach. Wer sein Passwort vergisst, kann sich dieses nämlich per Mail zuschicken lassen. Das wäre bei einer sicheren Speicherung nicht möglich. Das bedeutet, dass im Falle eines Fremdzugriffs auf die Datenbank der Login in das Onlinekonto problemlos möglich wären, was die Gewista auch in Sachen DSGVO vor Probleme stellen könnte. Denn diese schreibt Unternehmen die sichere Verwahrung von Kundendaten vor.

Im Onlineportal von Citybike sind Name, Wohnadresse und bei vielen Accounts auch die E-Mail einsichtig. Zudem werden auch Standortdaten in Form der Citybike-Fahrten, jeweils mit Start- und Zielstation, angegeben, die potenziell weitere Rückschlüsse – beispielsweise auf den Arbeitsort – zulassen.

Mehrere Missbrauchsmöglichkeiten

Die Angabe der E-Mail-Adresse bei einsehbarem Passwort ermöglicht es Hackern zudem, den Login auch bei anderen Onlineportalen auszuprobieren. Da viele Nutzer nach wie vor ihre Passwörter "recyceln", also mehrfach verwenden, ist das eine beliebte Methode, um an weitere Accounts zu kommen, die sich etwa für den Versand von Phishing-Mails oder Identitätsdiebstahl missbrauchen lassen.

Nicht möglich ist es allerdings, nur mit den Login-Daten alleine ein Fahrrad unter fremdem Namen zu leihen. Denn für die Verwendung der Entleihautomaten sind entweder Bankomatkarte, Kreditkarte oder eine eigene Citybike-Karte Voraussetzung, derer man habhaft werden müsste. Diese sehen die Betreiber auch als das "wesentliche Sicherheitsmerkmal" bei der Authentifizierung der Nutzer.

Foto: derStandard.at/Pichler

"Dorn im Auge"

Bei der Gewista ist man sich des Passwortsproblems bewusst. Es sei schon "seit längerer Zeit ein Dorn im Auge". Man habe daher schon vor längerer Zeit eine Änderung des Prozederes in Auftrag gegeben. Passwörter sollen künftig nur noch als Hash hinterlegt werden. Wenn Nutzer dann ihre Login-Daten vergessen, wird das Passwort nicht mehr als Klartext zugeschickt, sondern kann über einen per E-Mail versandten Link neu gesetzt werden.

"Leider hinkt die Umsetzung beim Dienstleister hinterher", heißt es von der Gewista. Man geht davon aus, dass das Sicherheitslevel noch im Lauf des Sommers angepasst wird. Im besten Fall könnte das sogar schon Anfang Juli erfolgen. Man betont, dass man bei der Absicherung der Datenbank selber jedenfalls gängige Sicherheitsstandards einhalte. Sie sei physisch getrennt vom Webserver und der Zugriff über Schnittstellen auf die jeweils relevanten Daten begrenzt.

Foto: derStandard.at/Pichler

Minimale Passwortlänge bleibt bei drei Zeichen

Die Minimallänge für Citybike-Passwörter wird allerdings nicht erhöht. Derzeit liegt diese bei drei Zeichen, die jeweils Ziffern oder Großbuchstaben sein können. Ein relevantes Sicherheitsrisiko erkennt man in dieser Regelung nicht. Die Citybikes würden auch von vielen wenig internetaffinen Menschen verwendet, die öfters auch mit den Touchscreens an den Stationen ihre Mühe hätten. Aus Komfortgründen sei daher keine Erhöhung der Mindestzeichenmenge vorgesehen.

Allerdings werden auch die Daten der "Offline"-User in der gleichen Datenbank gespeichert wie jene der Citybiker, die sich online angemeldet haben. Bei der Gewista geht man davon aus, dass die allermeisten Nutzer ein eigenes Kennwort für den Radverleih verwenden, auch weil die Vergabe kurzer Codes möglich ist und die Eingabe schnell erledigt werden soll.

Erinnerung an T-Mobile-Vorfall

Es ist nicht lange her, da hat es ein anderes österreichisches Großunternehmen mit praktisch dem gleichen Passwortproblem sogar weltweit in die Schlagzeilen verschiedener Tech-Medien geschafft. T-Mobile Austria hatte ebenfalls Kundenkennwörter im Klartext hinterlegt.

In einer ersten Reaktion auf eine Twitter-Nachfrage beschwichtigte man damit, dass ein Fremdzugriff auf die Datenbank dank der eigenen "amazing security" sowieso nicht möglich sei – und erntete dafür Häme von zahlreichen Sicherheitsexperten. Letztlich ruderte man zurück und versprach baldige Nachbesserung. (Georg Pichler, 26.6.2018)