Bezahlsystem des Lollapalooza Zack, im Konto anderer Festivalbesucher

Beim Popfestival Lollapalooza zahlten die Besucher alles digital per Chipkarte. Das klappte vor Ort - doch Tage später wird bei der Guthaben-Rückforderung klar: Das Cashless-System hat ein peinliches Sicherheitsproblem.

Besucher des Lollapalooza-Festivals 2017
BILAN/ EPA-EFE/ REX/ Shutterstock

Besucher des Lollapalooza-Festivals 2017

Von


Hinweis der Redaktion, 29. Oktober: Mittlerweile gibt es einen weiteren, aktuelleren Text zum Thema. Sie finden ihn hier.


The XX, Marteria, AnnenMayKantereit: Auf dem Lollapalooza spielten vergangenes Wochenende einige der angesagtesten Künstler des Jahres 2017. Und auch in Sachen Bezahlung inszenierte sich das Berliner Musikfestival als besonders zeitgemäß: Essen und Getränke ließen sich vor Ort ausschließlich per Guthaben auf einer Chipkarte erwerben, die mit einem Code bedruckt und Teil des Festivalbändchens war.

Das Geld konnten die Besucher vorab auf ein digitales Festivalkonto buchen. Und wer nur Bargeld hatte, musste es für Bier oder Pommes erst noch an einem Schalter auf die kleine Chipkarte buchen lassen. Mit Sätzen wie "Es ist zu 100 Prozent genau" und "Dein Guthaben ist sicher" warben die Veranstalter im Vorfeld für ihr System.

Praktisch klappte das Bezahlen per Chip - anders als die An- und Abreise einiger Besucher am ersten Tag - einigermaßen gut. Doch das System hat für die Besucher einen Haken: Anders als bei anderen Events, wo man nicht ausgegebenes Geld einfach wieder mit nach Hause nimmt, muss man sich beim Lollapalooza sein Restguthaben manuell zurückbuchen lassen. Das geht erst seit Mittwoch und wer das nicht macht, parkt sein Geld weiter beim Veranstalter.

Wer sein digitales Festivalportmonee im Voraus füllen wollte, musste mindestens 40 Euro einzahlen, es gab auch andere - allerdings feste - Beträge wie 100 Euro. Viele der Besucher dürften daher vor Ort nicht ihr gesamtes Geld ausgegeben haben - etwa weil sie vorsichtshalber zu hoch kalkuliert hatten oder weil es in der Praxis schlicht schwer fällt, sein Guthaben eurogenau aufzubrauchen.

Einloggen in fremde Konten möglich

Doch bis zum Freitagnachmittag gab es noch eine andere Sache, die das Bezahlsystem nicht gerade in gutem Licht dastehen lässt: Auf der Festivalwebsite war es bis zu einem Hinweis von SPIEGEL ONLINE Festivalbesuchern, aber auch Dritten möglich, sich in diverse fremde Guthaben-Übersichten einzuloggen. Man brauchte lediglich den Code von einem Festivalbändchen, denn in einigen Fällen ähnelte der manch anderen Codes außergewöhnlich stark.

So konnte man prinzipiell das Guthaben fremder Personen zum Spenden freigeben - was vom Lollapalooza als Alternative zur Rücküberweisung angeboten wird - oder es auf ein Bankkonto seiner Wahl überweisen lassen. Uns gelang es am Donnerstagnachmittag, uns gleich in locker einem Dutzend fremder Restguthaben-Konten anzumelden - und es wären noch mehr Zugriffe möglich gewesen.

35,50 Euro fremdes Restguthaben: Wir hätten es spenden oder an ein Konto unserer Wahl überweisen können

35,50 Euro fremdes Restguthaben: Wir hätten es spenden oder an ein Konto unserer Wahl überweisen können

Auf manchen Guthabenkonten waren nur noch Kleckerbeträge wie 1,50 Euro, in anderen Fällen aber stießen wir zum Beispiel auch auf Beträge wie 35,50 oder 42,50 Euro. Wem das Geld jeweils gehörte, war nicht ersichtlich, personenbezogene Daten waren nicht einsehbar.

Potenzial für Missbrauch gab es

Ein an dieser Stelle möglicher Missbrauch fremden Guthabens hätte natürlich auffallen können - jedenfalls dann, wenn der eigentliche Guthabenbesitzer sich später noch sein Restgeld holen will. Praktisch dürfte es angesichts von 85.000 Lollapalooza-Besuchern pro Tag aber diverse Guthabenkonten geben, bei denen die Besitzer schlicht vergessen, ihr Restguthaben abzuholen, beziehungsweise bei denen es ihnen egal ist, ob noch ein kleiner Betrag drauf ist.

Auf SPIEGEL-ONLINE-Anfrage heißt es vom Veranstalter, man könne mögliche Betrugsfälle bei der Restguthabenauszahlung derzeit zwar nicht hundertprozentig ausschließen - grundsätzlich würden Überweisungen aber auf Plausibilität und Muster hin geprüft. Wenn jemand glaube, er sei durch Betrug mit seinem Code zu einem Schaden gekommen, solle er sich melden.

Davon, dass das Codesystem so leicht auszutricksen war, sei man "überrascht", heißt es vom Veranstalter: "Seit 2015 arbeiten wir auf diversen Events mit diesem System und hatten dieses Problem bisher noch nie." Bei stichprobenartigen Checks vor dem Festival sei zumindest nichts aufgefallen. Man habe sich nun aber mit dem Zulieferer in Verbindung gesetzt, um der Sache auf den Grund zu gehen. Man gehe bisher von einem Fehler seitens des Chip-Herstellers aus.

Am Freitagnachmittag entschieden die Veranstalter dann laut einer Stellungnahme, die Chipnummerneingabe abzuschalten - damit war unser Vorgehen fortan nicht mehr möglich. Wer sein Geld zurückfordern will, muss sich nun auf jeden Fall in seinen Festival-Account einloggen. Der zunächst weiter auf der Festival-Website vorhandene Hinweis "Die Erstattung eures Restguthabens könnt ihr (...) ohne Registrierung anfordern" ist damit überholt.

Lollapalooza-Website vor dem SPIEGEL-Hinweis: Die Option "Proceed without sign-in" fehlt jetzt

Lollapalooza-Website vor dem SPIEGEL-Hinweis: Die Option "Proceed without sign-in" fehlt jetzt

Wer keinen Festival-Account besitzt - etwa weil er als Mitarbeiter einen nicht personalisierten Chip hatte - und jetzt nicht mehr an sein Geld kommt, der soll sich beim Veranstalter melden, heißt es.

Hinweis der Redaktion: In einer früheren Version dieses Artikels hieß es, dass eine Chipnummerneingabe ab Freitagnachmittag nach Anpassung des Systems nur noch möglich gewesen sei, nachdem man sich in seinen Festival-Account eingeloggt hatte und somit identifizierbar war. Laut einer schriftlichen Stellungnahme der Veranstalter wurde die Chipnummereingabe nach unserem Hinweis aber abgeschaltet.



insgesamt 29 Beiträge
Alle Kommentare öffnen
Seite 1
coroona 15.09.2017
1.
"Uns gelang es am Donnerstagnachmittag, uns gleich in mehr als einem Dutzend fremder Konten anzumelden." Ist das nicht strafbar? "§ 202a StGB Ausspähen von Daten (1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft."
unschärfer 15.09.2017
2. Bargeld bitte niemals abschaffen
Bei solchen Artikeln wird die Bedeutung des Bargeldes es wirklich deutlich. Eine Abschaffung des Bargeldes hätte zur Folge, dass diese willkürlichen und anfälligen Bezahlsysteme für die Enteignung der Menschen stehen.
irgendeiner20 15.09.2017
3.
Zitat von unschärferBei solchen Artikeln wird die Bedeutung des Bargeldes es wirklich deutlich. Eine Abschaffung des Bargeldes hätte zur Folge, dass diese willkürlichen und anfälligen Bezahlsysteme für die Enteignung der Menschen stehen.
Auch wenn ich natürlich nicht für die Abschaffung von Bargeld bin, gibt es ja auch andere Möglichkeiten digital zu bezahlen ohne etwas aufladen zu müssen. Kreditkarte, Paypal etc.. Hier geht es ja darum dass man erst mal Geld auf eine Karte laden muss und diesen Betrag dann vergisst.
irgendeiner20 15.09.2017
4. Es gibt bessere digitale Bezahlmöglichkeiten.
Zitat von unschärferBei solchen Artikeln wird die Bedeutung des Bargeldes es wirklich deutlich. Eine Abschaffung des Bargeldes hätte zur Folge, dass diese willkürlichen und anfälligen Bezahlsysteme für die Enteignung der Menschen stehen.
Es gibt ja genug andere digitale Bezahlsysteme wo man nicht erst umständlich Geld aufladen muss, sondern immer beim kauf den jeweiligen Betrag bezahlt. Trotzdem bin ich natürlich nicht für die Abschaffung von Bargeld. Wieso auch? Bargeld ist zudem die einzige Möglichkeit dem durch die Banken erschaffenen Giralgeld zu umgehen.
hermann_müller 15.09.2017
5. Hipster-Nulpen
Jaja... Das passiert wenn hippe Studenten meinen sie könnten ja mal 'nen Start-Up gründen und die Bezahlung auf Festivals disruptieren. Keine Ahnung, keinen Schimmer, hauptsache hip und sicherheitstechnisch auf einem Level, bei dem jeder Auszubildende zum Fachinformatiker im ersten Lehrjahr sich vor Lachen nicht mehr einkriegen würde. Alleine schon die Idee, inkrementelle IDs zu benutzen mit denen man sich ohne Autorisierung in irgendwelchen Accounts anmelden kann ist sowas von dumm. Aber naja, Berlin halt. Passt schon.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.