Digital Life
26.06.2018

Citybikes-Betreiber speichert Passwörter im Klartext

© Bild: Gewista / Andreas Buchberger/Gewista

Die Kundenpasswörter bei Citybikes in Wien werden in einer Datenbank im Klartext gespeichert und bei Bedarf zur Gänze zugeschickt.

Das Speichern des kompletten Passworts im Klartext gilt heutzutage aber als extrem unsichere Praxis und könnte sogar mit der EU-Datenschutzgrundverordnung im Clinch stehen. Darin steht nämlich, dass Unternehmen Kundendaten „sicher verwahren“ müssen. Passwörter im Klartext per E-Mail zu verschicken, gehört wahrscheinlich eher nicht zu dieser „sicheren Verwahrung“.

Das geschieht aber einem Bericht vom „Standard“ zufolge beim Anbieter von Citybikes in Wien. "Ja, das Problem besteht aktuell", heißt es auf futurezone-Anfrage. Der Werbekonzern Gewista ist der Betreiber und damit für die Webplattform des Radverleihs verantwortlich. Würde man sich als Hacker Zugriff auf die dahinterliegende Datenbank verschaffen, hätte man Daten wie Name, Wohnadresse, E-Mail-Adresse sowie das Passwort der User.

Kein Bike nur mit Passwort

Da noch immer viele Internet-Nutzer ein- und dasselbe Passwort bei mehreren Diensten im Netz verwenden, könnten sich potentielle Angreifer damit auch auf anderen Portalen einloggen und gegebenenfalls Missbrauch betreiben. Beim Ausborgen von Citybikes nutzt Angreifern das Passwort jedoch nicht: Dazu benötigt man nämlich entweder eine Citybike-, Bankomat- oder Kreditkarte, um das Leihrad in Betrieb zu nehmen.

"Wir testen gerade eine neue Software für die Terminals. Dabei hat es Probleme gegeben. Wir rechnen damit, dass wir das System noch im Sommer umstellen können", sagt Erich Dechant, Head of City Bikes bei der Gewista. "Es hängt da noch mehr dran, als die Passwörter. Wir müssen auch die AGB anpassen und in vier Sprachen übersetzen. Auch die Datenschutzgrundverordnung ist ein Thema."

Inklusiver Ansatz

Die Mindesteingabe bei den Passwörtern soll allerdings auch beim neuen System bei drei Stellen belassen werden. "Damit haben wir eine höhere Sicherheit als beim Pincode und jeder Nutzer kann auch mehr Stellen eingeben", so Dechant. Aus Security-Sicht ist das allerdings trotzdem nicht besonders klug, so dauert es nur knapp vier Sekunden, um ein Passwort dieser Länge zu knacken – und zwar auch dann, wenn es nicht im Klartext gespeichert ist.

"Wir verfolgen einen inklusiven Ansatz und möchten auch nicht-technikaffines Publikum bedienen. In der Regel werden die Räder in 70 Prozent der Fälle noch über das Terminal ausgeliehen, auf dem man dann das Passwort eingeben muss und nicht per Smartphone", erklärt Dechant.

Shitstorm bei T-Mobile

Aufregung um Passwörter im Klartext gab es zuletzt bei T-Mobile. Der Mobilfunker hatte aufgrund eines Social-Media-Postings über „amazing security“ einen Shitstorm einstecken müssen.