Die "Defcon" gilt als größte Veranstaltung für Hacker. Sie findet seit 1993 jährlich in der US-Spielermetropole Las Vegas statt. Über die Jahre gab es immer wieder kleinere und größere Skandale, denn hier trifft sich, wer in der digitalen Welt für ordentlich Unruhe sorgt – und nicht jedem gefällt das. 2008 zum Beispiel gelang es der Massachusetts Bay Transportation Authority (MBTA), der Betreibergesellschaft des öffentlichen Personennahverkehrs in Boston und Umgebung, einen Vortrag von Hackern gerichtlich untersagen zu lassen. Darin sollte erklärt werden, wie man das Ticketsystem aushebelt und gratis mit den öffentlichen Verkehrsmitteln fahren kann. Der Vortrag fand tatsächlich nie statt, aber die Präsentationsnotizen fanden dennoch ihren Weg in die Öffentlichkeit.
Als zwei Schüler im Sommer 2021 davon erfuhren, war ihre Neugier geweckt: Sollte der uralte Hack noch immer möglich sein? Große Chancen versprachen sie sich nicht, denn sie mussten natürlich davon ausgehen, dass eine derart riesige Sicherheitslücke nach 15 Jahren geschlossen sein musste. Doch im Gespräch mit "Wired" kommt man schnell zum Fazit – trotz der Klage und dem Skandal 2008 hatte man sich dem Systemfehler nicht gewidmet. Er funktionierte noch.
Alter Hack, neu entdeckt
Ihre Geschichte erzählten die Hacker kürzlich auf eben jener "Defcon" – diesmal aber mit Erlaubnis der MBTA. Laut Bericht war es den ihnen zunächst gelungen, den alten Hack problemlos zu reproduzieren. Aber der Erfolg kam zur Unzeit – denn wenig später stellte die Betreibergesellschaft das System von Karten mit Magnetstreifen auf moderne RFID-Chips um.
Die talentierten Teenager, inzwischen ein Freundeskreis aus vier Leuten, machten sich an die Arbeit, die Funktionsweise der neuen "Charliecard", so heißt das Ticket in Boston, zu studieren und den Freifahrten-Hack darauf anzuwenden. Auch das gelang ihnen – und binnen kürzester Zeit hielten sie ein Gerät in der Hand, mit dem sich die Karten beliebig aufladen oder sogar zu einer Mitarbeiter-Karte umstellen ließen. In beiden Fällen ermöglichten es die Karten fortan, unlimitiert öffentliche Verkehrsmittel der MBTA zu nutzen.
Mit Bus und Bahn in Deutschland unterwegs – hier ist der ÖPNV am besten erreichbar
Schlusslicht des Rankings bildet Mecklenburg-Vorpommern. Hier haben nur 66,1 Prozent der Bevölkerung einen akzeptablen Zugang zum ÖPNV. Zufrieden sind mit dem derzeitigen Takt und der Erreichbarkeit von Bus und Bahn nur 44 Prozent der Befragten.
Ausflugstipp: Es wirkt ein bisschen als wäre es nicht mehr Deutschland. Die Kreidefelsen auf der Insel Rügen sind immer wieder sehr beeindruckend. Im kleinsten Nationalpark der Bundesrepublik finden Reisende weiße Kreidefelsen, einen märchenhaften Buchenwald, die glitzernde Ostsee und eine einzigartige Landschaft. Auf dem Hochuferweg Jasmund können Wanderlustige die Natur erkunden. Zwischen Sassnitz und Lohme verkehrt auch ein Bus.
Fast zeitgleich erfuhren Sie von einem anderen Hacker in Boston, der ebenfalls damit beschäftigt war, die MBTA-Karten zu manipulieren. Beeindruckt von der Arbeit der jungen Kollegen, stellte er den Kontakt zu den richtigen Ansprechpartnern der Verkehrsbetriebe her und ermöglichte es ihnen, die Sicherheitslücke straffrei zu melden.
Boston-Sicherheitslücke wird nicht geschlossen
"Wired" berichtet, dass in dem Meeting, bei dem die Schüler ihre Arbeit vorstellten, zwölf hochrangige Mitarbeiter der MBTA anwesend waren. Sie seien erstaunt und dankbar gewesen, dass man ihnen diesen Hack präsentierte. Den Sicherheitsbeauftragten der MBTA bezeichneten sie als "fantastischen Kerl". Man verstand sich offenbar.
Unter Zurückhaltung bestimmter technischer Einzelheiten wurde es den jungen Hackern anschließend erlaubt, ihre Arbeit bei der renommierten "Defcon" zu präsentieren. Ob die vier jungen Hacker ihre Arbeit selbst einsetzen? "Kein Kommentar", hieß es nur.
Sollte das der Fall sein, blieben ihnen noch rund zwei Jahre. Denn obwohl die MBTA nun bestens über die Funktionsweise der Sicherheitslücke Bescheid weiß, wird sie nicht handeln. Analysen hätten ergeben, so der Bericht, dass keine nennenswerte Personenzahl davon profitiert. Somit geht kein merklicher Umsatz verloren.
Und da für 2025 ohnehin eine Umstellung des gesamten Systems geplant ist, ist es offenbar die Mühe nicht mehr wert.
