Reaktion auf SPIEGEL-Recherchen Sicherheitslücken im Bezahlsystem - Festivalveranstalter will nachbessern

Die Festivals Lollapalooza, Melt und splash! liefen dieses Jahr bargeldlos: Im System zur Restguthabenauszahlung entdeckte der SPIEGEL später peinliche Schwächen. Der Veranstalter will es nun überarbeiten.
Besucher des Lollapalooza

Besucher des Lollapalooza

Foto: Jens Kalaene/ dpa

"Bargeld bitte niemals abschaffen", und: "Wer mir so etwas aufdrücken will, verliert mich als Gast." Unter anderem so kommentierten Forumsnutzer Mitte September einen SPIEGEL-ONLINE-Artikel über das bargeldlose Bezahlsystem des Musikfestivals Lollapalooza, das am Wochenende zuvor nahe Berlin stattgefunden hatte.

Wenige Tage nach dem Festival war uns aufgefallen, dass man auf simple Weise in die Restguthabenübersichten einiger Besucher des Festivals gelangen konnte - eine Lücke, die auch jemand anderes hätte entdecken können.

Blick in eine fremde Lollapalooza-Guthabenübersicht (aus dem September)

Blick in eine fremde Lollapalooza-Guthabenübersicht (aus dem September)

Zu wem die Guthabenübersichten jeweils gehörten, erfuhren wir nicht, persönliche Daten waren nicht einsehbar. Von den Übersichtsseiten aus hätten wir aber unter anderem eine Überweisung des jeweiligen Restgelds an ein Bankkonto unserer Wahl in Auftrag geben können.

"Lasst euch nicht verunsichern"

Der offizielle Facebook-Account des Lollapalooza Berlin kommentierte unseren Artikel zum Thema auf der Facebook-Seite von SPIEGEL ONLINE trocken. "Lasst euch nicht verunsichern", hieß es dort: "Euer Guthaben ist sicher und kann von keiner dritten Person abgerufen werden."

Tatsächlich gingen auch wir zunächst davon aus, dass die Lücke nach einem Hinweis von uns vom Veranstalter geschlossen worden sei. Bald jedoch sollte sich zeigen: Auch in den folgenden Wochen hätte das Restgeld mancher Besucher sehr wohl noch von Fremden abgerufen werden können - was mit den Festivals Melt und splash! vom selben Veranstalter zu tun hat. Der Veranstalter jedenfalls hat nun angekündigt, das System auf kommenden Veranstaltungen besser abzusichern.

Was war das Problem?

Das bargeldlose Bezahlen auf dem Lollapalooza funktionierte dieses Jahr so: Festivalbesucher bekamen Chipkarten, die an ein virtuelles Konto gekoppelt waren, das sie vorab oder vor Ort füllen konnten. Mit dem eingezahlten Geld konnte man zum Beispiel Bier, Pommes oder Band-T-Shirts kaufen.

Das Restgeld, das vom Festivalbesuch übrig blieb, konnte man sich später übers Internet zurückholen, zunächst brauchte es dafür nur eine gültige Chipnummer, sonst nichts. Das Problem: Die Nummern beziehungsweise Codes der Chips ähnelten sich mitunter so sehr, dass man sich unter Umständen per Tippfehler beim Code-Eingeben Einblick in eine fremde Guthabenübersicht hätte verschaffen können.

Nach unserem Hinweis auf die Schwachstelle hieß es vom Veranstalter des Lollapalooza, man habe die freie Eingabe der Chipnummern auf der Festival-Website nun abgeschaltet. Das Problem schien damit gelöst.

Ein weiterer Weg

In den Wochen nach Veröffentlichung des Artikels stellten wir jedoch fest, dass es noch einen weiteren Weg gab, die Auszahlung von Restguthaben vom Lollapalooza in Auftrag zu geben. Und zwar über die Cashback-Webseite des Melt-Festivals. Die entsprechende Seite mit einem Feld zur Chipnummerneingabe ohne Log-in ließ sich mit einer einfachen Google-Suche finden.

Melt-Cashback-Seite mit dem Hinweis "Danke, dass du beim Lollapalooza 2017 warst."

Melt-Cashback-Seite mit dem Hinweis "Danke, dass du beim Lollapalooza 2017 warst."

Foto: SPIEGEL ONLINE

Eine Chipnummer vom Lollapalooza - eine, bei der der Kartenbesitzer eingeweiht war - reichte, damit wir uns das zugehörige Restgeld auf ein von der Person unabhängiges Bankkonto auszahlen konnten. Nach wenigen Tagen war das Geld bei uns angekommen. Wir brauchten weder den Namen der Personen kennen noch irgendein Passwort.

Es gab auch noch die splash!-Seite

Vermutlich hätte der Vorgang auch über eine dritte Cashback-Seite aus dem Netz funktioniert, über die des splash!-Festivals. In einem zweiten Test konnten wir uns hierüber jedenfalls auch Restguthaben vom Melt-Festival auszahlen lassen, diesmal ausschließlich mithilfe einer Melt-Chipnummer (und ebenfalls mit Zustimmung des Kartenbesitzers). So unterschiedlich die Cashback-Seiten von Lollapalooza, Melt und splash! aussahen, im Hintergrund waren sie wohl mehr oder weniger miteinander verbunden.

splash!-Cashback-Seite nach dem Eingeben einer Lollapalooza-Chipnummer

splash!-Cashback-Seite nach dem Eingeben einer Lollapalooza-Chipnummer

Foto: SPIEGEL ONLINE

Auf Basis weniger bekannter Chipnummern des Melt-Festivals war es uns zudem möglich, erneut einige weitere Nummern zu erraten, die im Bezahlsystem existieren.

Offenbar gab es hier also dasselbe Problem wie zuvor beim Lollapalooza, wir konnten wieder in einige weitere, fremde Guthaben-Übersichten schauen. Mal stießen wir auf 25 Euro - die im konkreten Fall offenbar einem Splash-Besucher gehörten -, mal nur auf 2,30 Euro.

Einblick in eine splash!-Guthaben-Übersicht über die Cashback-Seite des Melt-Festivals

Einblick in eine splash!-Guthaben-Übersicht über die Cashback-Seite des Melt-Festivals

Foto: SPIEGEL ONLINE

Bargeldloses Zahlen als Zukunft

Nach unseren Auszahl-Tests haben wir den Veranstalter der drei Festivals erneut mit dem Thema konfrontiert. Zurück kam eine ungewöhnlich umfangreiche Stellungnahme, in der das bargeldlose Zahlsystem an sich gelobt wird, unter anderem als "eine bessere, organisatorisch und logistisch einfachere und sichere Experience für den Besucher".

Man habe als Veranstalter der genannten Events "das bargeldlose Zahlen auf Musikfestivals in Deutschland eingeführt", heißt es, und stehe "ausdrücklich zu dieser Technologie, die die Zukunft auf Veranstaltungen dieser Art ist".

Es heißt aber auch: "Wie bei jeder neuen Technologie lässt es sich leider nicht vermeiden, dass sich hier und da kleinere Fehler und Ungereimtheiten einschleichen."

Eine Pin soll das System absichern

Mit Blick auf die "sehr ähnlichen Chipnummern in diesem Jahr" habe man den zuständigen Chiplieferanten zur Rede gestellt und um Aufklärung gebeten, teilt der Veranstalter mit. Parallel sondiere man darüber hinaus andere Möglichkeiten und Alternativen für das Jahr 2018.

Zudem soll eine Neuerung Probleme wie dieses Jahr verhindern: "Zusätzlich werden wir mit sofortiger Wirkung für alle zukünftigen Events eine weitere Sicherheitsstufe einbauen", heißt es, "indem wir veranlassen werden, dass es neben der Chipnummer noch eine weitere personalisierte Pin pro Chip geben wird."

Kurz nach unserer zweiten Anfrage an den Veranstalter waren die problematischen Cashback-Seiten von Melt und splash! mit Chipnummerneingabe nicht mehr aufzurufen.

Mitarbeit: Judith Horchert