Vorsicht: HTTPS-Verbindung zu PayPal im WIFIonICE kompromittiert

Die Deutsche Bahn hat seit einiger Zeit ihr WLAN-Angebot in den Zügen deutlich erweitert. Beim Thema Sicherheit scheint es aber noch Probleme zu geben, wie jetzt Heise Security meldet. Wer "WIFIonICE" nutzt und eine Bezahlung mit PayPal durchführen möchte, sollte sehr aufmerksam sein. Laut dem Heise-Verlag gibt es ein Problem bei der gesicherten Verbindungen zu PayPal im kostenlosen WLAN der Deutschen Bahn in der ICE-Flotte. Andere Angebote wurden nicht geprüft. Einige Leser hatten sich an den Verlag gewandt, nachdem sie selbst Fehlermeldungen über eine unsichere HTTPS-Verbindung zu PayPal erhielten. So prüfte Heise die Vorwürfe. Dadurch stellte sich heraus, dass es einen Fehler in der Konfiguration im WIFIonICE gibt. Infografik: Mehrere Provider sorgen im Zug für bessere NetzabdeckungBahn WLAN Multiprovider

Jetzt wird es merkwürdig

Die HTTPS-Verbindung zu dem Bezahldienst wird von den verschiedenen Browsern als unsicher eingestuft. Heise konnte das am Windows PC und auf dem Mac mit unterschiedlichen Browsern nachvollziehen, während der Safari-Browser auf dem iPhone keine Warnung vor der Webseite ausspuckt. Die Warnung zeigt, dass das eingebundene Zertifikat nicht zu PayPal gehört, sondern zu Maersk Line, laut Heise einem dänischen Logistik-Unternehmen. Wie das Zertifikat an diese Stelle kommt ist noch unklar, es gibt nur Spekulationen.

Konfigurationsfehler

Wahrscheinlich steckt ein simpler Konfigurationsfehler dahinter - dass sich hier ein Hacker zu schaffen gemacht hat, ist eher unwahrscheinlich. Auch eine Art fehlgeleitete Sicherheitsfunktion gilt als unwahrscheinlich. Wie es aussieht, wird jedoch "www.paypal.com zu einem der Content-Delivery-Server von Akamai mit der IP-Adresse 23.46.119.241 aufgelöst", schreibt Heise.

Die Bahn selbst warnt bei der Verwendung von WIFIonICE vor dem Besuch von Webseiten über ungesicherte Verbindungen. Da heißt es: "Um eine sichere Übertragung zu gewährleisten, empfehlen wir Ihnen das WLAN-Angebot im ICE über eine VPN-Verbindung zu nutzen oder nur Webseiten mit dem Zusatz "https://" zu besuchen."

Ein Sprecher der Deutschen Bahn hat sich mittlerweile bei Heise Security zum Thema gemeldet und das Problem zugegeben. Eine Erklärung für die Anzeige des falschen Zertifikats hat man aber noch nicht: "Wir haben den Fehler nachvollziehen können und arbeiten daran, ihn schnellstmöglich zu beheben." Deutsche Bahn, Zug, Ice Deutsche Bahn, Zug, Ice Ed Webster / Flickr
Diese Nachricht empfehlen
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen
Jetzt als Amazon Blitzangebot
Ab 08:20 Uhr kungfuren OBD2 Bluetooth 4.0 Adapter für iPhone IOS und Android, OBD2 Diagnosegerät Scanner, Mini KFZ OBD Pro, OBD II Diagnosewerkzeuge Auto Code Readerkungfuren OBD2 Bluetooth 4.0 Adapter für iPhone IOS und Android, OBD2 Diagnosegerät Scanner, Mini KFZ OBD Pro, OBD II Diagnosewerkzeuge Auto Code Reader
Original Amazon-Preis
21,99
Im Preisvergleich ab
?
Blitzangebot-Preis
18,69
Ersparnis zu Amazon 15% oder 3,30
Alle Amazon Blitzangebote
Beliebte Downloads
Weitere Downloads
Video-Empfehlungen
Beliebt im Preisvergleich
Sicherheit & Backup Preisvergleich
Neue Nachrichten
Themen-Übersicht
Beliebte Nachrichten
Videos
  • Neueste
  • Beliebte
  • Empfehlung
Mehr Videos
Tipp einsenden
Hinweise zum Einsenden von Tipps
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!