Mietrad zum Nulltarif Hacker knacken Code der Bahn-Fahrräder
Die Bahn macht mobil - seit einiger Zeit auch mit eigens entworfenen Mietfahrrädern. In Berlin, Frankfurt am Main, München und Köln stehen die voll gefederten Hightech-Räder auf der Straße herum. Ganz praktisch, wenn man nachts um drei kein Geld mehr fürs Taxi übrig hat und nicht auf den Nachtbus warten will.
Ein Anruf im Bahn-Callcenter, und man bekommt den vierstelligen Öffnungscode für das elektronische Schloss übermittelt. Nach der Fahrt muss der Fahrer das Rad wieder anschließen und den Rückgabe-Code, den das kleine Display am Fahrradschloss anzeigt, dem Callcenter melden. Bezahlt werden sechs Cent pro Nutzungsminute.
Offenbar war dies einer Gruppe Berliner Hacker immer noch zu teuer. Vielleicht hatten sie auch keine Lust, sich bei der nächtlichen Fahrt nach Hause immer beeilen zu müssen, schließlich kostet jede Minute extra. Möglicherweise war es auch die selbstbewusste Selbstdarstellung von "Call a Bike", die den Ausschlag gab: "Der Code ist nicht zu knacken und darauf sind wir richtig stolz", hatte ein Techniker im Bahnmagazin "Mobil" erklärt.
"Nicht zu knacken" - das klingt nach einer echten Herausforderung. Es war tatsächlich eine, und sie wurde gemeistert: Auf der Website des Chaos Computer Club (CCC) berichtet ein Hacker ausführlich, wie sich das Fahrrad knacken lässt. Danach könne man mit dem Rad kostenlos fahren, berichtet der CCC, ohne dass die Bahn etwas davon bemerke.
Probefahrt im Sommer durch Berlin
Die Macher von "Hack a Bike" bleiben anonym. In Berlin haben die Hacker nach eigenen Angaben "knappe zehn Prozent" der in der Stadt verteilten "Call a Bikes" in ein "Hack a Bike" umgebaut. Das sind knapp 200 Räder. Bundesweit hat die Bahn 4250 Fahrräder auf die Straße gebracht.
Der Hacking-Aufwand war enorm: Im November 2003 wurde den Fahrradschraubern ein DB-Bike "zugetragen, das nicht richtig abgeschlossen wurde". Dieses wurde dann eingehend inspiziert. Der Schlosskasten ließ sich mit Spezialwerkzeug öffnen, innen stießen die Tüftler auf eine mit schwarzem Silikon übergossene Platine, die schnurstracks frei gekratzt wurde.
"Dann lag die Technik erst mal zwei Monate einsam in einer Kiste, weil wir es nicht geschafft haben, das 'Call a Bike' zu booten", schreiben die Macher der Aktion. Zufällig sei man dann darauf gestoßen, dass ein Infrarot-Signal das System aktiviert.
"Hört sich eigentlich ganz leicht an"
Nachdem der Assemblercode ausgelesen war, waren "mehrere Hacker" über mehrere Wochen damit beschäftigt, den Code zu verstehen und zu dokumentieren. Weil sie in dem System keine direkt nutzbaren Schwachstellen oder Hintertüren entdecken konnten, entwarfen die Hacker kurzerhand eine eigene Software mit eingebauter Backdoor.
"Hört sich eigentlich ganz leicht an, ist es aber nicht", schreiben sie. Erst einmal habe man den Code der Bahn "optimieren" müssen, um den entsprechenden Platz zu schaffen. "Schließlich sollte ja auch noch ein Logo mit 400 Bytes von uns in das acht Kilobyte große Flash."
Schließlich wurde dem manipulierten Bahn-Bike noch eine leicht veränderte Blink-Sequenz beigebracht, damit man es "auch auf größere Entfernung noch von seinen unbehandelten Verwandten unterscheiden" kann. Abgeschlossene DB-Räder geben regelmäßig ein Blinksignal ab, offenbar, um sie leichter zu finden.
Ein geschulter Hacker braucht laut der Beschreibung circa zwölf Minuten, um zwei "Call a Bikes" parallel in "Hack a Bikes" zu verwandeln. Die manipulierten Räder ließen sich fortan durch jeden kostenlos nutzen, der den selbst festgelegten Code kenne. Die Ausleihzentrale der Bahn soll von den illegalen Leihvorgängen nichts merken können - außer dass das Rad unter Umständen an einem anderen Ort steht, als in der Datenbank vermerkt ist. Wenn das "Hack A Bike" danach von einem Kunden legal genutzt und wieder abgestellt werde, sei es ganz normal wieder ausleihbar.
Bei der Bahn stieß die Aktion auf wenig Gegenliebe: "Die Fahrräder sind Eigentum der DB AG", sagte Hartmut Sommer, "Call-a-Bike"-Sprecher gegenüber SPIEGEL ONLINE. "Jegliche Manipulation daran führt zu strafrechtlicher Verfolgung."
Bahn droht mit strafrechtlicher Verfolgung
Die Bahn werde die Winterpause nutzen, um die Räder zu überprüfen. Seit 15. Dezember sind laut Sommer fast alle "Call a Bikes" eingesammelt. Genau an diesem Tag schickte der CCC auch die Information über den Fahrradhack an die Bahn.
Wie oft die Hacker zum Nulltarif in Berlin unterwegs waren, will die Bahn jetzt bei einer Analyse ihrer Mietdaten herausbekommen. Besonders eilig hatten es die Hacker jedenfalls nicht, ihren Coup bekannt zu machen. Demonstriert wurde der Gratiscode bereits im Sommer, wie viele kennen ihn wohl inzwischen?
Gelohnt hat sich die Sache trotzdem nicht so richtig, wie die Hacker ganz realistisch einschätzen: "Unsere Attacke ist von den verbrauchten Mannstunden wohl mehr Wert als ein paar Dutzend 'Call a Bikes'."
Holger Dambeck
