Deutschlandticket-Apps: 49€ plus Datenweitergabe an Google und Co. – Deutschlandticket Teil1

1. One-Ticket-To-Rule-Them-AllDeutschland-Ticket

Das Deutschlandticket (49,- €) ist am 1. Mai 2023 gestartet. Erhältlich ist das Ticket laut der FAQ (Bundesregierung):

Kundinnen und Kunden können das Deutschlandticket bei allen Verkehrsunternehmen und -verbünden erwerben.

Das Ticket wird digital angeboten – also per App oder auf einer Chipkarte. Übergangsweise wohl auch als Papierticket mit QR-Code – aber nur bis maximal zum 31. Dezember 2023.

Leser des Kuketz-Blogs wissen, dass es App-Anbieter leider oftmals nicht so genau mit den Datenschutzgesetzen nehmen und sowohl die DSGVO als auch das TTDSG (sträflich) missachten. Im Rahmen der Serie »App-Check« werden Apps auf ihr Datensendeverhalten geprüft. Ergebnisse daraus haben unter anderem zu einer Klage gegen die Deutsche Bahn geführt oder der Deutschen Post den BigBrotherAward 2023 (Kategorie Verbraucherschutz) eingebracht.

Nachfolgend möchte ich kurz zwei Apps beleuchten, die damit werben, das Deutschlandticket »bequem und einfach« zu erwerben. Es handelt sich dabei explizit um Angebote, die auf das Deutschlandticket zugeschnitten sind. Abseits dieser Angebote besteht ebenfalls die Möglichkeit, das Deutschlandticket über die diversen Apps der Verkehrsverbünde zu erwerben.

Dieser Beitrag ist Teil einer Artikelserie:

2. Dein Deutschlandticket

Beginnen wir zunächst mit der App Dein Deutschlandticket (Version 2.1.0). Laut Exodus Privacy hat die App vier Tracker integriert.

Unmittelbar nach dem Start, noch bevor überhaupt eine Interaktion stattfindet, werden die nachfolgenden Verbindungen initiiert:

  • Google Firebase
  • Google Firebase Crashlytics
  • Mobimeo (*.mobimeo.com)
  • Consent Manager (*.consentmanager.net)

Auszugsweise werde ich nachfolgend die Verbindung zu Crashlytics und Mobomeo darstellen.

[1] Eine initiale Verbindung erfolgt zu Google Firebase Crashlytics (USA), einem Dienst für die Erstellung/Auswertung von Absturzberichten [firebase-settings.crashlytics.com]:

GET /spi/v2/platforms/android/gmp/1:31463062408:android:81e147af7a4193b3a7583d/settings?instance=f5c8c3b474200e5888a27617cfb7440a133f4803&build_version=2070&display_version=2.1.0&source=4 HTTP/1.1
X-CRASHLYTICS-DEVELOPER-TOKEN: 470fa2b4ae81cd56ecbcda9735803434cec591fa
X-CRASHLYTICS-DEVICE-MODEL: Xiaomi/Mi A1
X-CRASHLYTICS-INSTALLATION-ID: c95a949f0c4e478da250269c4e860361
X-CRASHLYTICS-OS-DISPLAY-VERSION: 10
Accept: application/json
X-CRASHLYTICS-API-CLIENT-VERSION: 18.2.9
User-Agent: Crashlytics Android SDK/18.2.9
X-CRASHLYTICS-API-CLIENT-TYPE: android
X-CRASHLYTICS-GOOGLE-APP-ID: 1:31463062408:android:81e147af7a4193b3a7583d
X-CRASHLYTICS-OS-BUILD-VERSION: 10037230
Host: firebase-settings.crashlytics.com
Connection: close
Accept-Encoding: gzip, deflate

[2] Weitere Verbindungen erfolgen zu Mobimeo, einem Tech-Start-up der Deutschen Bahn AG. Eine der Verbindungen erfolgt zu Analysezwecken [analytics-api.prd.mobimeo.com]:

POST /v1/events HTTP/1.1
Host: analytics-api.prd.mobimeo.com
User-Agent: mobility-inside-bogestra-nkvp/2.1.0 (Linux; U; Android 10; Mi A1 BUILD/QQ3A.200805.001; BUILDNR/2070; VERSION/2.1.0; VERSIONCODE/2070)
X-Api-Key: vGNAHbzUqXjbbiL97RLyloksOnI2byhD
Time-Zone: Europe/Berlin
X-Mobimeo-Dnt: unknown
Accept-Language: de-DE
X-Installation-Id: 95644159-c766-4f10-9287-51cfa57c39fc
X-Application-Version: 2.1.0
X-Application-Buildnumber: 2070
X-Application-Platform: Android
Content-Type: application/x-www-form-urlencoded
Content-Length: 1325
Accept-Encoding: gzip, deflate
X-Correlation-Id: ba49843f-504a-4b66-a013-2a89b8c22ed1
Connection: close

v=2&client=ApiKey&e=[{
   "event_type":"$identify",
   "timestamp":1683013081191,
   "user_id":null,
   "device_id":"95644159-c766-4f10-9287-51cfa57c39fc",
   "session_id":1683013081191,
   "uuid":"e7f00dd9-1ef6-4c15-a447-222ac1f68a5a",
   "sequence_number":1,
   "version_name":"2.1.0",
   "os_name":"android",
   "os_version":"10",
   "api_level":29,
   "device_brand":"Xiaomi",
   "device_manufacturer":"Xiaomi",
   "device_model":"Mi A1",
   "carrier":"congstar",
   "country":"DE",
   "language":"de",
   "platform":"Android",
   "library":{
      "name":"amplitude-android",
      "version":"3.35.1"
    },
   "api_properties":{
      "limit_ad_tracking":false,
      "gps_enabled":false
   },
   "event_properties":{},
   "user_properties":{
      "$set":{
          "Full Version":"2.1.0-2070",
          "Pixel Size":"1080 x 1920",
          "Viewport":"360 x 640",
          "AppID":"mobility-inside-bogestra-nkvp",
          "UI Language":"Deutsch",
          "BuildCommit":"21a0163"
      }
   },
   "groups":{},
   "group_properties":{},
   "event_id":1
}]&upload_time=1683013081444&checksum=bff5a1edde3a178db31184096f81009e

Es werden Geräte-IDs, Gerätemodell, Auflösung etc. vom Gerät abgefragt und ohne Einwilligung an Mobimeo übermittelt. Ich kann nur gebetsmühlenartig wiederholen: Solche Zugriffe auf Endeinrichtungen zu Zwecken der Webanalyse, der Marktforschung und jede Form der Werbung ohne informierte Einwilligung ist nach § 25 Abs. 1 TTDSG unzulässig. § 25 TTDSG regelt den Schutz der Privatsphäre bei Endeinrichtungen und setzt Art. 5 Abs. 3 der ePrivacy-Richtlinie um.

Der obligatorische (Cookie-)Consent-Banner wird erst nach der Datenübermittlung eingeblendet – zu spät, denn bis zu diesem Punkt sind die Daten bereits abgeflossen. Nach nicht einmal fünf Minuten kann festgestellt werden: Bestehende Datenschutzgesetze werden mal wieder missachtet bzw. dagegen verstoßen.

3. Deutschlandticket App

Weiter geht es mit der Deutschlandticket App (Version 1.5.8). Laut Exodus Privacy hat die App zwei Tracker integriert.

Unmittelbar nach dem Start, noch bevor überhaupt eine Interaktion stattfindet, werden die nachfolgenden Verbindungen initiiert:

  • Google Firebase
  • Google Firebase Crashlytics
  • Google Firebase Remote Config
  • Google Firebase Cloud Messaging
  • Google Firebase Cloud Storage
  • HandyTickets (*.handyticket.link)

Auffällig ist die exzessive Nutzung von Google Firebase – eine Entwicklungs-Plattform für mobile Apps und Webanwendungen, die von Google angeboten wird. Man kann sich Google Firebase wie einen digitalen Werkzeugkasten für Entwickler vorstellen, aus dem das passende Tool einfach herausgenommen werden kann. Aktuell bietet Google eine Vielzahl von Tools und Diensten (aktuell 18), die sich schnell und einfach in Apps integrieren lassen, einschließlich Echtzeit-Datenbanken, Benutzer-Authentifizierung, Cloud-Speicher und mehr.

Die Google Firebase Dienste sind besonders für kleine Entwickler und Startups attraktiv, da sie ohne aufwendige Serverinfrastruktur und zusätzliche Kosten genutzt werden können. Firebase hat den Vorteil, dass es leicht in bestehende Anwendungen und Apps integriert werden kann, was für Entwickler in der Regel mit wenig Aufwand verbunden ist. Aus Entwicklersicht ist Google Firebase zweifellos eine Bereicherung. Wechseln wir allerdings die Perspektive zum Nutzer, wird schnell deutlich: Google Firebase missachtet die Privatsphäre der Nutzer und sammelt/verarbeitet potenziell sensible Daten ohne Zustimmung.

[1] Eine initiale Verbindung erfolgt zu Google Firebase Crashlytics (USA), einem Dienst für die Erstellung/Auswertung von Absturzberichten [firebase-settings.crashlytics.com]:

GET /spi/v2/platforms/android/gmp/1:669023644833:android:3ff8755ad16bb3205c94e0/settings?instance=8a28e98ca04529178bf49ab0ab0d58b8c3c448a2&build_version=138&display_version=1.5.8&source=4 HTTP/1.1
X-CRASHLYTICS-DEVELOPER-TOKEN: 470fa2b4ae81cd56ecbcda9735803434cec591fa
X-CRASHLYTICS-DEVICE-MODEL: Xiaomi/Mi A1
X-CRASHLYTICS-INSTALLATION-ID: 0f0b16f5dd0f4123a35492a51a4dd589
X-CRASHLYTICS-OS-DISPLAY-VERSION: 10
Accept: application/json
X-CRASHLYTICS-API-CLIENT-VERSION: 18.3.5
User-Agent: Crashlytics Android SDK/18.3.5
X-CRASHLYTICS-API-CLIENT-TYPE: android
X-CRASHLYTICS-GOOGLE-APP-ID: 1:669023644833:android:3ff8755ad16bb3205c94e0
X-CRASHLYTICS-OS-BUILD-VERSION: 10037230
Host: firebase-settings.crashlytics.com
Connection: close
Accept-Encoding: gzip, deflate

Auch hier gilt: Solche sind Zugriffe auf Endeinrichtungen zu Zwecken der Webanalyse, der Marktforschung und jede Form der Werbung ohne informierte Einwilligung ist nach § 25 Abs. 1 TTDSG unzulässig. § 25 TTDSG regelt den Schutz der Privatsphäre bei Endeinrichtungen und setzt Art. 5 Abs. 3 der ePrivacy-Richtlinie um. Ein Cookie-)Consent-Banner sparen sich die Verantwortlichen gleich komplett – wozu auch, stört ja nur. ;-)

Unabhängig dieser Datenübermittlung sollte man wissen, dass die App eng mit der Google-Infrastruktur verbandelt ist. Eine Kröte, die man schlucken muss.

Hilf mit die Spendenziele zu erreichen!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

4. Fazit

Es genügt, wenn man das Datensendeverhalten beider Apps direkt nach dem Start überprüft. Mein Fazit lautet: Keine der beiden Apps würde ich nutzen. Am datenschutzfreundlichsten wird aktuell wohl die Nutzung einer Chipkarte sein. Mir ist nämlich keine App bekannt, mit der sich das Deutschlandticket datenschutzfreundlich verwalten lässt. Das heißt aber nicht, dass es solch eine App nicht gibt. Vielleicht gibt es ja einen Verkehrsverbund, der eine App anbietet, über die man das Deutschlandticket erwerben/verwalten kann und die auch gleichzeitig noch datenschutzfreundlich ist? Deshalb schlage ich vor, dass wir uns in einer Serie »Deutschlandticket« in den kommenden Wochen einige Apps von Tarif- und Verkehrsverbünden stichprobenartig ansehen, um eine mögliche datenschutzfreundliche App zu finden. Sowohl der DB Navigator als auch der Next DB Navigator der Deutschen Bahn kommen hierfür jedoch nicht infrage.

Über den Autor | Kuketz

Mike Kuketz

In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.

Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.

Mehr Erfahren ➡

SpendeUnterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡


Diskussion

Ich freue mich auf Deine Beteiligung zum Artikel

HilfeWenn du Ergänzungen oder konkrete Fragen zum Beitrag hast, besuche das offizielle Forum. Dort kann der Beitrag diskutiert werden. Oder besuche den Chat, um dein Anliegen zu besprechen. zur Diskussion ➡

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.