[Bergisches Land] Fwd: [Nrw-ak-datenschutz] Unverschluesselte Kundendaten auf VRR eTickets

[Dustin Schmidtberg <ml@schmidtberg.de>]

Zur Info falls es mal wieder zu einen Infostand kommt.


---------- Weitergeleitete Nachricht ----------
Von: Tobias Feldmann <tobi@sfeldmann.de>
Datum: 28. November 2011 19:17
Betreff: [Nrw-ak-datenschutz] Unverschluesselte Kundendaten auf VRR eTickets
An: nrw-ak-datenschutz@lists.piratenpartei.de


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Moin liebe Liste,

nachdem ich nunmehr 2 Monate in Düsseldorf und somit im Bereich des
VRR wohne, habe ich mich über das kürzlich erworbene Ticket schlau
gemacht.

Das eTicket hat verschiedene Daten auf dem RFID Chip gespeichert,
darunter auch Daten, welche unter die „informelle Selbstbestimmung “
fallen. Konkret handelt es sich um folgendes:

•    Name
•    Vornahme
•    Geburtsdatum
•    Gültigkeitszeitraum des Tickets
•    Tarif des Tickets
•    Besteller des Tickets (z.B. Arbeitgeber)

Das BSI gibt an, dass RFID Chips bis auf 2 Meter bitgenau ausgelesen
werden können:
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/ElekAusweise/RFID/Abh_RFID_pdf.pdf?__blob=publicationFile

Der VRR gibt das sog. IT-Sicherheitskit heraus, welches ein RFID
Lesegerät beinhaltet. Mit diesem kann ein jedes eTicket in ca. einer
Sekunde ausgelesen werden, auch ohne das Wissen des Besitzers. Dieses
widerspricht m.M.n. eindeutig dem „Grundrecht auf Gewährleistung der
Vertraulichkeit und Integrität informationstechnischer Systeme“. Der
eTicket Inhaber hat keinerlei Möglichkeit nachzuvollziehen, in welchem
Umfang seine Daten ausgelesen wurden.

Ich habe den VRR heute angeschrieben, in wieweit die Daten seiner
Kunden verschlüssel gespeichert werden. Ich habe eine Antwort
erhalten, die Daten werden komplett unverschluesslt gespeichert und
bereit gestellt. Die E-Mail vom VRR (Herr Omers) liegt mir vor.

(alter Text: Sollte sich hierbei rausstellen (wie schon 2007:
http://www.kruedewagen.de/blog/2007/12/21/rfid-tickets-beim-vrr/) dass
die Daten gänzlich unverschlüssel gespeichert sind, würde ich hier
gerne zumindest eine PM rausbringen.)

Schön ist auch der VRR, der zwar angibt man könne ein Bewegunsprofil
der Kunden erstellen, verzichtet aber darauf:
http://www.vrr.de/de/global/hilfe_faq/fragen_und_antworten/01029/index.html#j7

Gibt es hierzu bereits eine Initiative? Gefunden habe ich bei meinen
Recherchen leider nichts.

Passend dazu habe ich ein Pad eroeffnet, vielleicht will und kann
jemand was an der PM verbessern? http://piratenpad.de/VRR

Und nach dem Fussball bin ich heute auch wieder zu Hause :)

Grüße, Tobi
- --
Tobias Feldmann
GPG: 0xD12E8CB9
-----BEGIN PGP SIGNATURE-----
Version: GnuPG/MacGPG2 v2.0.17 (Darwin)
Comment: GPGTools - http://gpgtools.org
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJO09A/AAoJELibjLnpWalhgdwH/040SSj1ySi0BfqMTDZk7vV8
uVNnsZQ7RO6jPbK7VU8/5f0IZjcTmjxKWlrHtwDH5m8Rj+7X987siCkToi2tpmRr
Gs8TBn80PZw1qUecZ1tcFdOEnXk5RCfamVOedH+9QZx2Nv1JtR6XdychrobNTRsH
5SQ8+0+Z1V2EpfZOrlewuFkkYbEo3H52XlRO/ePv5sJJYjdYTWFU8alboFZhD9GO
1YobBnQz0bmEU/sPcco3wy61k8dDr/z+LCqlfzQwTsjacCnv4yypFCaVi3lcrAGM
DL+ztPiUZIZ11eIx+62+GwlCz2atLnBqPpa90O4zpOaXVCXkgqPmuLhvF7i6RvI=
=92HE
-----END PGP SIGNATURE-----

--
Nrw-ak-datenschutz mailing list
Nrw-ak-datenschutz@lists.piratenpartei.de
https://service.piratenpartei.de/listinfo/nrw-ak-datenschutz

Attachment: 0xD12E8CB9.asc
Description: application/pgp-keys