In Fortsetzung unserer Sicherheitsbetrachtung gesellschaftsrelevanter digitaler Infrastrukturen haben Sven Faßbender, Martin Tschirsich sowie Dr. André Zilch die aus dem Internet zugängliche Schnittstelle «Ticketcontrol» zum Schweizer Schwarzfahrerregister auf die Erreichung wichtiger Sicherheitsziele überprüft. Hierbei wurde ein offensichtlicher technischer Mangel identifiziert. Über «Ticketcontrol» hochgeladene Daten waren frei aus dem Internet zugänglich.
Wie auch in unseren vorausgegangenen Untersuchungen zum Schweizer Organspenderegister «Swisstransplant» sowie zum schweizerischen digitalen Impfbüechli «meineimpfungen.ch» war erneut die Vertraulichkeit zentral gespeicherter Daten durch einen offensichtlichen Mangel kompromittiert.
Über «Ticketcontrol»
Die aus dem Internet zugängliche Schnittstelle «Ticketcontrol» zum nationalen Schwarzfahrerregister dient der Erfassung von Personendaten, welche im Zusammenhang mit einem Schwarzfahrerdelikt erhoben werden. Ziel ist es, Personen, die wiederholt schwarzfahren, mithilfe des Registers schneller zu identifizieren. Die Prozesse zur Erhebung der Daten wurden durch dieses Register schweizweit vereinheitlicht.
Die Einführung des nationalen «Schwarzfahrerregisters» geht auf einen Parlamentsbeschluss des Jahres 2015 zurück. Über die «Ticketcontrol»-Schnittstelle können betroffene Personen Belege hochladen zum Nachweis, dass sie zum Zeitpunkt der Fahrscheinkontrolle einen gültigen Fahrausweis besassen. Zudem können kleine Verkehrsverbünde in standardisiertem Format registrierte Schwarzfahrer melden.
Die Herausforderung
Der Betrieb eines zentralen nationalen Registers und seiner Schnittstellen stellt eine Datenverarbeitung in grossem Umfang dar. Zu erfüllen sind besonders hohe Anforderungen an die zu erreichenden Schutzziele der Vertraulichkeit, Integrität sowie Verfügbarkeit von Daten.
Hier gilt in besonderem Masse das, was Bruce Schneier in seinem Buch «Beyond Fear: Thinking Sensibly About Security in an Uncertain World» unter dem Titel «Security Is a Weakest-Link Problem» beschrieben hat.
Grundannahme dabei ist, dass kein System frei von Sicherheitsmängel ist und die Gesamtsicherheit durch das schwächste Glied der Kette bestimmt wird.
Dennoch gibt es Strategien, unter denen diese Systeme trotz noch unerkannter Schwachstellen dem Schutzbedarf entsprechend sicher betrieben werden können. Bruce Schneier benennt hier die Prinzipien Defense-in-Depth, Compartmentalization und die Realisierung von Choke-Points zur Steigerung der Wirksamkeit von Abwehrmassnahmen.
Was ist passiert
Bereits eine kursorische Untersuchung der Schnittstelle hat einen kritischen Sicherheitsmangel aufgedeckt:
- Aufgrund einer sogenannten «Insecure-Direct-Object-Reference» (IDOR-Schwachstelle) waren über diese Schnittstelle hochgeladene Daten nicht gegen Zugriff aus dem Internet gesichert.
Damit war das Ziel, «vertrauliche Tatsachen und Informationen gegen den Zugang und die Kenntnisnahme durch Unbefugte wirksam» zu schützen, nicht erreicht.
Der vollständige Bericht kann hier heruntergeladen werden: Download Report_Ticketcontrol_v1.1.pdf
Coordinated Disclosure
Im Umgang mit dem identifizierten Mangel galt es zuvorderst, Betroffene keinen zusätzlichen Risiken auszusetzen. Betroffene sind insbesondere Personen, welche mutmasslich ohne gültigen Fahrausweis den öV verwendet haben.
Daher war es uns wichtig, den Betreiber detailliert über den Mangel in Kenntnis zu setzen. Anschliessend wurden die Befunde mit «Ticketcontrol» koordiniert veröffentlicht. In diesem Prozess war «SRF Investigativ» beteiligt.
Das gemeinsame Ziel der hiesigen und vorausgegangenen Veröffentlichungen zu «Ticketcontrol», «Swisstransplant» sowie «meineimpfungen.ch» ist es, die zugrunde liegenden systematischen Fehler aufzudecken und Betreiber gesellschaftsrelevanter digitaler Infrastrukturen für einen angemessenen Umgang mit den Anforderungen der Informationssicherheit zu sensibilisieren.
Der identifizierte Mangel wurden am 21.01.2022 der PostAuto AG, dem Eidgenössischen Datenschutzbeauftragten (EDÖB) sowie dem Nationalen Zentrum für Cybersicherheit (NCSC) in einem Coordinated-Disclosure-Verfahren mitgeteilt. Eine Veröffentlichung unsererseits erfolgte in Abstimmung mit dem Betreiber.
Ausblick
Die gemeldete Schwachstelle wurde umgehend durch den Betreiber behoben.
Auf Dauer empfehlen wir, die Resilienz der Schnittstelle zu erhöhen. Die Vertraulichkeit der darüber verarbeiteten Daten sollte nach dem Defense-in-Depth-Prinzip über mehrere unabhängige Sicherheitsmechanismen sichergestellt werden. Beispielhaft zu nennen sind die Ende-zu-Ende-Verschlüsselung und der Verzicht auf Klartextspeicherung.
Über den weiteren Lebenszyklus der Schnittstelle ist eine regelmässige Prüfung der umgesetzten Schutzmassnahmen hilfreich.
Referenzen
Disclosure Timeline
| Datum | Beschreibung |
|---|---|
| 21.01.2022 | Mitteilung an PostAuto AG, EDÖB und NCSC |
| 24.01.2022 | PostAuto AG bestätigt Mängelbeseitigung bereits zum 21.01.2022 |
| 26.01.2022 | Veröffentlichung unseres Berichts |