Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Datenschutz-Panne: ADAC-Karte entpuppt sich als Sicherheitsrisiko

Von

Sicherheitslücke für Autofahrer: Wer seine ADAC-Mitgliedskarte verliert oder aus der Hand gibt, geht ein Risiko ein. Die Informationen auf der Karte reichen aus, um im Online-Shop des Autoclubs persönliche Daten einzusehen - und Bestellungen auf Kosten des Karteninhabers aufzugeben.

Eine ADAC-Mitgliedskarte kann nützlich sein - wenn man eine Panne hat oder falls man Straßenkarten für den nächsten Urlaub braucht. Sie kann den Eigentümer aber auch ziemlich teuer zu stehen kommen - wenn er sie verliert oder wenn sie ihm gestohlen wird. Denn mit den Daten, die auf der Karte stehen, kann sich ein Finder oder Dieb ganz einfach in das Online-Konto des Kartenbesitzers einloggen. Und dort beispielsweise ein Fahrrad für 700 Euro bestellen, auf Kosten des Kartenbesitzers oder unter Angabe einer fiktiven Bankverbindung für den Lastschrifteinzug.

ADAC-Mitgliedskarte: Keine Sicherheitsmindesstandards
SPIEGEL ONLINE

ADAC-Mitgliedskarte: Keine Sicherheitsmindesstandards

Natürlich könnte der unehrliche Finder auch die Adresse und sogar die Telefonnummer des Karteninhabers herausfinden. Markus Feilner von der Fachzeitschrift "Linux-Magazin" war erstaunt, als er herausfand, wie leicht sich ein ADAC-Mitgliederkonto kapern lässt. "Die meisten Leute wissen nicht, dass die Daten von der Karte allein reichen, um alle möglichen Dinge mit dem Online-Konto anzustellen", sagte Feilner SPIEGEL ONLINE.

Üblicherweise läuft die Anmeldung bei solchen Online-Angeboten so ab:

  • Man sucht sich einen Benutzernamen und ein Passwort aus und gibt eine E-Mail-Adresse an.
  • Dorthin wird dann eine E-Mail geschickt, in der sich ein Bestätigungslink befindet. Erst, wenn man den angeklickt hat, darf man das Angebot benutzen.
  • Wenn man sein Passwort vergisst und um Hilfe bittet, wird an die gleiche E-Mail-Adresse wieder eine Mail mit einem Link verschickt. Hat man auf den geklickt, kann man auf einer speziellen Seite ein neues Passwort eingeben.

Dieses Verfahren ist nicht hundertprozentig sicher, enthält aber doch zumindest eine zusätzliche Sicherheitsstufe: Wer keinen Zugriff auf den entsprechenden E-Mail-Account hat, kann auch das Passwort nicht ändern.

Beim ADAC gelten diese Mindeststandards nicht.

Dort braucht man zur Änderung des Passwortes nur die Daten, die auf der Karte stehen: Name, Mitgliedsnummer und Ausstellungsdatum. Und weil man bei Deutschlands größtem Automobilclub nicht nur Kartenpakete bestellen, sondern auch richtig einkaufen kann, lassen sich damit Produkte für durchaus ernstzunehmende, vierstellige Summen bestellen. Autobahnvignetten kosten zwar nicht viel, wenn man aber 50 davon bestellt, sind die durchaus Geld wert.

Einkauf mit erfundener Kontonummer

SPIEGEL ONLINE hat mit der Karte eines Kollegen einen Test durchgeführt: Dabei war es kein Problem, mit dem geänderten Passwort zwei Fahrräder aus der "ADAC Collection" zu bestellen - zu einem Gegenwert von 1400 Euro. Man kann, zumindest laut den Informationen auf der Webseite, seine Kontodaten dort sogar dauerhaft hinterlegen. Im Bestellformular existiert die Möglichkeit "Meine Bankdaten sind bekannt" anzuklicken: Das allein würde dem "Account-Entführer" dann reichen, um seine Bestellung vom eigentlichen Besitzer der Karte bezahlen zu lassen.

"Linux-Magazin"-Redakteur Markus Feilner hat auch ausprobiert, was passiert, wenn man eine erfundene Bankverbindung eingibt: "Ich habe zwei Vignetten nach Hause geschickt bekommen." Kurze Zeit später bekam er einen Brief vom ADAC-Mitgliederservice, in dem er gebeten wurde, seine Bankverbindung "nochmals vollständig mitzuteilen", weil "Bankleitzahl und Kontonummer nicht zueinander passen" würden. Den Schaden hat in diesem Fall allerdings nicht der Kartenbesitzer, sondern der ADAC selbst.

Karte im Handschuhfach - ein Risiko

Wer seinen Geldbeutel verliert, wird üblicherweise als erstes EC- und Kreditkarten sperren - dass auch die Mitgliedskarte des Automobilclubs einem unehrlichen Finder Freude machen könnte, gehörte bislang eher nicht zu den Sorgen, die dabei aufkommen. Auch seine Karte im Handschuhfach liegenzulassen, wie das viele Autobesitzer tun, erscheint auf einmal riskant.

Als Feilner beim ADAC nachfragte, wurde ihm beschieden, das sei alles nicht so schlimm, es handele sich nur um eine "theoretische Lücke", weil der ADAC "im Gegensatz zu EC- oder Kreditkarten-Anbietern kein Ziel derartiger krimineller Angriffe" sei.

Die anzurichtenden Schäden seien nicht mit denen vergleichbar, die beim Verlust anderer Karten entstehen könnten, so ein ADAC-Sprecher in einer E-Mail an Feilner. "Wir kennen das Problem, betrachten es aber nicht als gravierend." Man habe 16 Millionen Mitglieder, es gebe aber pro Jahr "maximal vier Hinweise" auf die Lücke, das zeige, "dass das Problem übersichtlich ist".

"Spuren, die nachvollziehbar sind"

Zu SPIEGEL ONLINE sagte ADAC-Sprecher Vincenzo Lucà, einen Betrugsfall über die ADAC-Shop-Seite habe es bislang noch nicht gegeben. "Wenn es aber passieren sollte, würden wir dem betroffenen Mitglied sehr kulant gegenübertreten." Das Risiko erscheine aber gering, weil potentielle Betrüger ja eine Lieferadresse angeben müssten. "Sie hinterlassen auf jeden Fall Spuren, die nachvollziehbar sind."

Die Passwortänderung sei deshalb so einfach, weil "wir Mitglieder haben, die das Onlineangebot zwar nutzen möchten, aber keine eigene E-Mail-Adresse haben". Mitgliedern, die sich nun Sorgen machen, rät Lucà, ihren Anmeldenamen im ADAC-Angebot von der als Standard eingestellten Mitgliedsnummer in die eigene E-Mail-Adresse zu ändern - und die dann bloß nicht auf der Mitgliedskarte zu notieren. Das sei "sicherer, wenn man seine Karte verlieren sollte, oder falls sie gestohlen wird".

Diesen Artikel...
Forum - Diskussion über diesen Artikel
insgesamt 14 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Na prima !
...ergo sum, 27.03.2008
Für knapp 80 € im Jahr z.Z. darf man wohl gerade vom ADAC ein wenig mehr erwarten als diesen Diletantismus. Schon schlimm genug wenn man seine Brieftasche "los wird", aber was soll man denn nun noch alles sperren lassen ? Und überhaupt, - erst muß man mal nach Hause, denn die ganzen Telefonnummern für diverse Sperrungen hat man eben dort, bestimmt nicht in der entwendeten Brieftasche. Ich habe das ein Mal durch, - 3 Karten sperren lassen auf unterschiedlichen Banken, Ausweis als gestohlen melden, Führerschein dito,Zulassung, jetzt also auch noch die ADAC-Karte. Wird ja immer besser mit dem Service.
2. Und nu?
DJ Doena 27.03.2008
Sowas ist doof, sowas ist peinlich. Die Frage ist nur: Worüber sollen wir jetzt in diesem Thread eigentlich diskutieren?
3. Nächstes Thema
Justitia 27.03.2008
Zitat von DJ DoenaSowas ist doof, sowas ist peinlich. Die Frage ist nur: Worüber sollen wir jetzt in diesem Thread eigentlich diskutieren?
Daß es für den ADAC peinlich ist, wie einfach seine Mitgliedskarten mißbraucht werden können, aber das sagten Sie bereits ja schon. Ich sehe es auch so, es ist somit alles gesagt, der Thread kann geschlossen werden. Nächstes Thema!
4. ADAC Motorwelt reicht
dig 27.03.2008
Die ADAC Motorwelt reicht, da steht nämlich auch die Mitglieds-Nr. drauf.
5. Noch schlimmer
tl-hd 27.03.2008
Zitat von JustitiaDaß es für den ADAC peinlich ist, wie einfach seine Mitgliedskarten mißbraucht werden können, aber das sagten Sie bereits ja schon. Ich sehe es auch so, es ist somit alles gesagt, der Thread kann geschlossen werden. Nächstes Thema!
Nein, es ist noch nicht alles gesagt. Wenn man den Artikel nämlich mal liest, findet man folgende Passage: Dass das überhaupt passiert, ist ja schon peinlich genug - aber dass das Problem dem ADAC bekannt ist, aber als nicht behebenswert angesehen wird, dass ist schon fast kriminell - gut, dass ich da kein Mitglied bin. ;-)
Alle Kommentare öffnen
    Seite 1    
Diskussion geschlossen - lesen Sie die Beiträge! zum Forum...

© SPIEGEL ONLINE 2008
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH




Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: