SPIEGEL ONLINE

SPIEGEL ONLINE

27. März 2008, 15:57 Uhr

Datenschutz-Panne

ADAC-Karte entpuppt sich als Sicherheitsrisiko

Von

Sicherheitslücke für Autofahrer: Wer seine ADAC-Mitgliedskarte verliert oder aus der Hand gibt, geht ein Risiko ein. Die Informationen auf der Karte reichen aus, um im Online-Shop des Autoclubs persönliche Daten einzusehen - und Bestellungen auf Kosten des Karteninhabers aufzugeben.

Eine ADAC-Mitgliedskarte kann nützlich sein - wenn man eine Panne hat oder falls man Straßenkarten für den nächsten Urlaub braucht. Sie kann den Eigentümer aber auch ziemlich teuer zu stehen kommen - wenn er sie verliert oder wenn sie ihm gestohlen wird. Denn mit den Daten, die auf der Karte stehen, kann sich ein Finder oder Dieb ganz einfach in das Online-Konto des Kartenbesitzers einloggen. Und dort beispielsweise ein Fahrrad für 700 Euro bestellen, auf Kosten des Kartenbesitzers oder unter Angabe einer fiktiven Bankverbindung für den Lastschrifteinzug.

ADAC-Mitgliedskarte: Keine Sicherheitsmindesstandards
SPIEGEL ONLINE

ADAC-Mitgliedskarte: Keine Sicherheitsmindesstandards

Natürlich könnte der unehrliche Finder auch die Adresse und sogar die Telefonnummer des Karteninhabers herausfinden. Markus Feilner von der Fachzeitschrift "Linux-Magazin" war erstaunt, als er herausfand, wie leicht sich ein ADAC-Mitgliederkonto kapern lässt. "Die meisten Leute wissen nicht, dass die Daten von der Karte allein reichen, um alle möglichen Dinge mit dem Online-Konto anzustellen", sagte Feilner SPIEGEL ONLINE.

Üblicherweise läuft die Anmeldung bei solchen Online-Angeboten so ab:

Dieses Verfahren ist nicht hundertprozentig sicher, enthält aber doch zumindest eine zusätzliche Sicherheitsstufe: Wer keinen Zugriff auf den entsprechenden E-Mail-Account hat, kann auch das Passwort nicht ändern.

Beim ADAC gelten diese Mindeststandards nicht.

Dort braucht man zur Änderung des Passwortes nur die Daten, die auf der Karte stehen: Name, Mitgliedsnummer und Ausstellungsdatum. Und weil man bei Deutschlands größtem Automobilclub nicht nur Kartenpakete bestellen, sondern auch richtig einkaufen kann, lassen sich damit Produkte für durchaus ernstzunehmende, vierstellige Summen bestellen. Autobahnvignetten kosten zwar nicht viel, wenn man aber 50 davon bestellt, sind die durchaus Geld wert.

Einkauf mit erfundener Kontonummer

SPIEGEL ONLINE hat mit der Karte eines Kollegen einen Test durchgeführt: Dabei war es kein Problem, mit dem geänderten Passwort zwei Fahrräder aus der "ADAC Collection" zu bestellen - zu einem Gegenwert von 1400 Euro. Man kann, zumindest laut den Informationen auf der Webseite, seine Kontodaten dort sogar dauerhaft hinterlegen. Im Bestellformular existiert die Möglichkeit "Meine Bankdaten sind bekannt" anzuklicken: Das allein würde dem "Account-Entführer" dann reichen, um seine Bestellung vom eigentlichen Besitzer der Karte bezahlen zu lassen.

"Linux-Magazin"-Redakteur Markus Feilner hat auch ausprobiert, was passiert, wenn man eine erfundene Bankverbindung eingibt: "Ich habe zwei Vignetten nach Hause geschickt bekommen." Kurze Zeit später bekam er einen Brief vom ADAC-Mitgliederservice, in dem er gebeten wurde, seine Bankverbindung "nochmals vollständig mitzuteilen", weil "Bankleitzahl und Kontonummer nicht zueinander passen" würden. Den Schaden hat in diesem Fall allerdings nicht der Kartenbesitzer, sondern der ADAC selbst.

Karte im Handschuhfach - ein Risiko

Wer seinen Geldbeutel verliert, wird üblicherweise als erstes EC- und Kreditkarten sperren - dass auch die Mitgliedskarte des Automobilclubs einem unehrlichen Finder Freude machen könnte, gehörte bislang eher nicht zu den Sorgen, die dabei aufkommen. Auch seine Karte im Handschuhfach liegenzulassen, wie das viele Autobesitzer tun, erscheint auf einmal riskant.

Als Feilner beim ADAC nachfragte, wurde ihm beschieden, das sei alles nicht so schlimm, es handele sich nur um eine "theoretische Lücke", weil der ADAC "im Gegensatz zu EC- oder Kreditkarten-Anbietern kein Ziel derartiger krimineller Angriffe" sei.

Die anzurichtenden Schäden seien nicht mit denen vergleichbar, die beim Verlust anderer Karten entstehen könnten, so ein ADAC-Sprecher in einer E-Mail an Feilner. "Wir kennen das Problem, betrachten es aber nicht als gravierend." Man habe 16 Millionen Mitglieder, es gebe aber pro Jahr "maximal vier Hinweise" auf die Lücke, das zeige, "dass das Problem übersichtlich ist".

"Spuren, die nachvollziehbar sind"

Zu SPIEGEL ONLINE sagte ADAC-Sprecher Vincenzo Lucà, einen Betrugsfall über die ADAC-Shop-Seite habe es bislang noch nicht gegeben. "Wenn es aber passieren sollte, würden wir dem betroffenen Mitglied sehr kulant gegenübertreten." Das Risiko erscheine aber gering, weil potentielle Betrüger ja eine Lieferadresse angeben müssten. "Sie hinterlassen auf jeden Fall Spuren, die nachvollziehbar sind."

Die Passwortänderung sei deshalb so einfach, weil "wir Mitglieder haben, die das Onlineangebot zwar nutzen möchten, aber keine eigene E-Mail-Adresse haben". Mitgliedern, die sich nun Sorgen machen, rät Lucà, ihren Anmeldenamen im ADAC-Angebot von der als Standard eingestellten Mitgliedsnummer in die eigene E-Mail-Adresse zu ändern - und die dann bloß nicht auf der Mitgliedskarte zu notieren. Das sei "sicherer, wenn man seine Karte verlieren sollte, oder falls sie gestohlen wird".

URL:

Mehr im Internet


© SPIEGEL ONLINE 2008
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung