Hilf mit die Spendenziele zu erreichen!
Mike Kuketz
15. Mai 2023

Verkehrsverbund Warnow (VVW): Der Teufel lauert im Detail – Deutschlandticket Teil6

1. VVW Fahrpläne & TicketsVVW

Im Rahmen der Artikelserie »Deutschlandticket« werden einige Apps von Tarif- und Verkehrsverbünden stichprobenartig auf ihr Datensendeverhalten geprüft. Mittels eines Intercepting-Proxys wird das Verhalten der Apps hauptsächlich beim Start analysiert. Es wird geprüft, wohin eine App eine Verbindung aufbaut und welche Daten dabei übermittelt werden. Die Ergebnisse sollen Aufschluss darüber geben, wie datenschutzfreundlich eine App in der Standardkonfiguration ist.

Im vorliegenden Beitrag wird die App VVW Fahrpläne & Tickets analysiert. Die Analyse erfolgt unter Android. Die Ausgangslage für den nachfolgenden Test der App ist wie folgt:

  • Betriebssystem: Android 10 (Xiaomi Mi A1)
  • App-Version: 6.3.3 (75) (Android)
  • Verbreitung: Über 100.000 Downloads (Google Play Store)
  • Exodus Privacy: In der Version 6.3.3 (75) (Android) ist 1 Tracker integriert

Nachfolgend wird kurz das Datensendeverhalten der App beleuchtet.

Dieser Beitrag ist Teil einer Artikelserie:

2. Datensendeverhalten

Unmittelbar nach dem Start, noch bevor überhaupt eine Interaktion stattfindet, werden die nachfolgenden Verbindungen initiiert:

  • Verkehrsverbund Warnow (shop.verkehrsverbund-warnow.de)

Die Verbindung zum Verkehrsverbund Warnow ist vollkommen in Ordnung. Es werden Grafiken, Inhalte, Preise etc. geladen, die für die Funktionserbringung der App erforderlich sind. Ansonsten wird keine weitere Verbindung beim Start aufgebaut. Das ist die erste App in der Reihe »Deutschland-Ticket«, die nicht unmittelbar nach dem Start versagt.

Natürlich gibt es aber auch bei der VVW-App ein paar Punkte zu bemängeln:

  • Das Kartenmaterial wird über Google Maps (clients4.google.com) ausgespielt
  • Das Deutschlandticket lässt sich nicht direkt innerhalb der App erwerben, sondern man wird auf die Website der VVW weitergeleitet. Dort kann man sich immerhin entscheiden, ob man das Ticket auf Papier oder Digital erhalten möchte
  • Bei der Bezahlung ohne Registrierung (Kontoerstellung bei VVW) stehen folgende Zahlungsmittel zur Verfügung:
    • Google Pay
    • PayPal
    • Kreditkarte
  • Bezahlung per SEPA steht erst nach einer Registrierung zur Verfügung (vermutlich aufgrund Betrugsprävention)
  • Laut Datenschutzerklärung werden beim Erwerb von Tickets unter anderem auch folgende Daten erhoben:
    • ggf. die MAC-Adresse für WLAN-Nutzung
    • die Mobilfunknummer des anfragenden Endgerätes (MSISDN)
    • die Gerätekennzeichnung, eindeutige Nummer des anfragenden Endgerätes (IMEI = International Mobile Equipment Identity),
    • die eindeutige Nummer des Netzteilnehmers (IMSI = International Mobile Subscriber Identity)

Immerhin verzichtet die App auf Tracking/Analyse und weitestgehend auf Endgerätezugriffe, die nicht »unbedingt erforderlich« sind. Weshalb nur weitestgehend? Weil die Abfrage und Übermittlung der Mobilfunknummer/IMEI/IMSI an den Auftragsverarbeiter EOS UPTRADE GmbH diskussionswürdig ist. Keine der genannten Zwecke mag so recht zur Übermittlung dieser personenbezogenen Daten passen:

  • Gewährleistung eines reibungslosen Verbindungsaufbaus und Bereitstellung des Mobile Ticketings,
  • Gewährleistung einer komfortablen Nutzung des Mobile Ticketings,
  • Erfüllung unseres Vertrages gegenüber dem Kunden (Erstellung der Tickets, Abrechnung, Leistungserbringung durch das Verkehrsunternehmen),
  • Gewährleistung und Auswertung der Systemsicherheit und -stabilität sowie
  • anonymisiert zu weiteren administrativen Zwecken.

Der Kuketz-Blog ist spendenfinanziert!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

3. Fazit

In der aktuell vorliegenden Version entspricht die App (nicht die Website) des VVW nach meiner Einschätzung den gesetzlichen Anforderungen an das TTDSG. Ob auch die Anforderungen an die DSGVO erfüllt werden, ist erst nach einer tiefergehenden Analyse bzw. Auseinandersetzung mit der Datenschutzerklärung zu beantworten – die ich im vorliegenden Beitrag nicht leiste. Aus Sicht des Datensendeverhaltens gibt es außer der Verbindung zu Google Maps jedenfalls nichts zu beanstanden.

Über den Autor | Kuketz

Mike Kuketz

In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.

Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.

Mehr Erfahren ➡

SpendeUnterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡

Ähnliche Beiträge
Deutschland-Ticket
2. Mai 2023

Deutschlandticket-Apps: 49€ plus Datenweitergabe an Google und Co. – Deutschlandticket Teil1

Das Deutschlandticket lässt sich digital per App verwalten. Zwei App-Angebote fallen beim Datenschutz durch.
RMV
26. Juni 2023

Rhein-Main-Verkehrsverbund (RMV): Richtig wählen beim Consent-Banner – Deutschlandticket Teil7

Das Datensendeverhalten der RMV-App ist in Ordnung. Bevor man die App jedoch nutzt, sollte man einen Blick in die Datenschutzerklärung werfen.
Verkehrsverbund Rhein-Ruhr
8. Mai 2023

Verkehrsverbund Rhein-Ruhr (VRR): Tracking ohne Einwilligung – Deutschlandticket Teil2

Ohne Einwilligung: Unmittelbar nach dem Start übermittelt die VRR-App personenbezogene Daten und Gerätedaten an Adjust und Google.
HVV
11. Mai 2023

Hamburger Verkehrsverbund (HVV): Absturzberichte ohne Einwilligung – Deutschlandticket Teil5

Ohne Einwilligung: Die HVV-App übermittelt ungefragt Absturzberichte an Google Crashlytics.
VBB
10. Mai 2023

Verkehrsverbund Berlin-Brandenburg (VBB): Tracking ohne Einwilligung – Deutschlandticket Teil4

Ohne Einwilligung: Unmittelbar nach dem Start übermittelt die VBB-App Analysedaten an das quelloffene Tracking-Tool Matomo.
Weitere Themen
AndroidAuditAutonomieBackupBezahlenBrowserCloudDatenschutzDatensendeverhaltenDigitalpolitikDSGVOE-MailFirewallHackingHärteniOSKuketz-BlogLinuxmacOSMessengerOpenWrtPasswortPentestRaspberryPiRechtSicherheitslückeSicherheitsmaßnahmeTorTrackingTTDSGÜberwachungVerschlüsselungWindowsWordPressXMPP
Diskussion

Ich freue mich auf Deine Beteiligung zum Artikel

HilfeWenn du Ergänzungen oder konkrete Fragen zum Beitrag hast, besuche das offizielle Forum. Dort kann der Beitrag diskutiert werden. Oder besuche den Chat, um dein Anliegen zu besprechen. zur Diskussion ➡

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.