Als aber am vergangenen Montag um 10 Uhr die Registrierung für das Geschenk starten sollte, war die entsprechende Webseite vom Fernweh der vielen Deutschen offenbar überlastet. Jedenfalls war sie erst einmal nicht erreichbar. Der Start der Aktion wurde zunächst um eine halbe Stunde nach hinten verschoben, doch die meisten der jungen Menschen, die sich um ein Ticket bemühten, sahen lediglich eine Fehlermeldung.

Geplant war, dass ein Ticket bekommt, wer sich am schnellsten registriert. Aber im Endeffekt lief das Ganze auf ein Glücksspiel hinaus, bei wem die Seite zufällig doch einmal funktionierte. Rund zwei Stunden lang sei der Server nicht erreichbar gewesen, berichten verschiedene User in den sozialen Medien, manche versuchten es gar fünf Stunden lang.

Tatsächlich war die digitale Infrastruktur nicht nur dem Ansturm nicht gewachsen, sie war offenbar auch nicht ausreichend gesichert. Gemeinsam mit IT-Sicherheitsforschenden konnte ZEIT ONLINE noch am Donnerstag einen Freundschaftspass lösen, obwohl alle 30.000 seit Montag vergeben waren. Die Gruppe zerforschung hatte eine nicht gesicherte Schnittstelle entdeckt, durch die sich technisch versierte Nutzerinnen weiterhin Tickets ausstellen lassen konnten. Bei ihren Nachforschungen entdeckten die Sicherheitsforschenden zudem eine Lücke in einem Portal der EU-Kommission für Interrail-Tickets, durch das sie auf Namen und E-Mail-Adressen von 250.000 jungen Menschen aus Europa zugreifen konnten.

Für viele sind die Pannen um das Freundschaftsticket ein weiteres Beispiel dafür, wie holprig es bei staatlichen digitalen Angeboten in Deutschland häufig läuft. Während auf der Webseite schnell davon die Rede war, der Pass sei „Opfer seines Erfolgs“ geworden, schrieben Nutzer bei Twitter sarkastisch, er sei wohl eher „Opfer der vergeigten digitalen Infrastruktur geworden“. Ein anderer Nutzer vertrieb sich die Zeit beim Erneuern der Seite mit der Taste F5 damit, alte Wahlkampfsprüche der FDP zu genau diesem Thema herauszukramen: „Bei der aktuellen Regierung kannst du lange auf F5 drücken, passieren wird nix.“

Beim zuständigen (FDP-geführten) Verkehrsministerium wiegelt man ab: 30.000 Tickets seien schließlich erfolgreich vergeben worden. Wie bei jedem begehrten Festival könne es passieren, dass Server einem Ansturm nicht standhalten und Leute leer ausgehen. Schließlich habe es am Montag um 10 Uhr in kurzer Zeit 5,9 Millionen Aufrufe der Seite gegeben, sagt ein Ministeriumssprecher ZEIT ONLINE. Auch das Ministerium hatte die Aktion zunächst als Erfolgsgeschichte verkauft, aber nach Spott und Häme auf Twitter eingeräumt, dass „im IT-Bereich noch zu tun ist“.

Wer ist zuständig?

Die Schuld an der Panne und der Sicherheitslücke sieht man im Ministerium allerdings woanders. Der Sprecher betont, dass mit der Umsetzung des Tickets die Deutsche Bahn und die französische staatliche Eisenbahngesellschaft SNCF beauftragt worden seien. „Dass bei der Umsetzung so attraktiver Angebote wie dem deutsch-französischen-Freundschaftspass oder auch dem Deutschlandticket bei der Deutschen Bahn und ihren Partnern häufig die Server überlastet sind, ist ärgerlich und darf nicht passieren“, heißt es vom Ministerium.

Die Deutsche Bahn wiederum verweist auf Nachfrage an Eurail. Das Partnerunternehmen von Europas Bahnen für Interrail-Tickets habe das Projekt übertragen bekommen. Doch offenbar hat auch Eurail einen Teil der Aufgabe ausgelagert. Technisch umgesetzt hat das Projekt die belgische Marketingagentur MCI Brussels, die den Ansturm auf das Angebot wohl unterschätzt hatte. Jedenfalls waren es deren Server, die am Montag nicht mehr erreichbar waren. Auch die Marketingagentur selbst ist nicht erreichbar. Mehrere Nachfragen von ZEIT ONLINE blieben unbeantwortet.

Nach dem Chaos am Montag verschickte die Agentur am Dienstag E-Mails an alle Nutzer, die wenigstens so weit gekommen waren, um in einem ersten Schritt ihre E-Mail-Adresse einzugeben. In den Mails wurden die Interessenten gebeten, ihre Registrierung abzuschließen, indem sie auf einen Link klickten.

Nicht nur führte dieser Link bei mehreren Nutzern ins Leere, er enthielt auch ein Geheimnis.

Die ethischen Hacker von zerforschung, einem Kollektiv, das es sich zur Aufgabe gemacht hat, die Sicherheit öffentlicher Software zu überprüfen, fanden heraus, dass in den Links Informationen steckten, die man nutzen konnte, um weitere Tickets zu lösen – theoretisch unendlich viele.

Mit wenigen Klicks zum gültigen Ticket

Denn auch einige der Mitglieder von zerforschung hatten sich für das kostenlose Zugticket interessiert, gingen aber wie Hunderttausende andere leer aus. Über Informationen aus dem Registrierungslink gelangten die ethischen Hackerinnen an eine offene Schnittstelle (API), durch die man mit der dahinterliegenden Datenbank kommunizieren kann.  Mit wenigen Klicks ließen sich so eine neue User-ID sowie eine Session-ID erzeugen. Informationen also, die dem System vorgaukeln, eine gültige Registrierung habe stattgefunden. Wer dann einen Namen und eine beliebige E-Mail-Adresse eintrug, bekam ein gültiges Ticket zugeschickt. ZEIT ONLINE liegen Dokumente vor, die das belegen, und konnte auch selbst auf diesem Weg ein Ticket lösen.

„Das System war nicht professionell“, sagt ein Mitglied von zerfoschung, das sich Pajowu* nennt, im Interview mit ZEIT ONLINE. Schließlich habe man damit rechnen können, dass sich angesichts einer solchen Ankündigung viele für die kostenlosen Tickets interessieren. „Wenn man so einen Ansturm provoziert, indem man sagt, wer zuerst kommt, mahlt zuerst, muss man auch technisch vorbereitet sein.“ Das sei technisch durchaus möglich gewesen. Auch die leicht auszunutzende Sicherheitslücke verweise auf eine nicht gerade durchdachte Programmierung der Seite.

Noch besser hätte Pajowu es gefunden, den Interessierten zwei Tage Zeit zu geben sich zu registrieren und danach auszulosen. „Das wäre fairer gewesen.“ Denn so hatten jene Vorteile, die eine schnelle Internetverbindung und leistungsfähige Geräte haben – und zwei Stunden Zeit an einem Montagmorgen.

Noch eine Schwachstelle

Und es gab ein weiteres Sicherheitsrisiko: Wer die Registrierung am Montagmorgen unterwegs per Handy erledigt hatte und später sein Passwort nicht mehr wusste, stieß ebenfalls auf Probleme. User berichteten, dass sie ihr Passwort nicht erneuern konnten. Das lag daran, dass der per E-Mail verschickte Link für den Passwortreset auf eine nicht registrierte Internetseite führte …

Die Lücke blieb tagelang offen

Wenn Sicherheitsforschende wie die Mitglieder von zerforschung eine Lücke entdecken, melden sie diese dem Betreiber einer Website, damit diese die Schwachstelle beheben können. Erst danach gehen sie an die Öffentlichkeit. Das Verfahren nennt sich Responsible Disclosure. In diesem Fall war es allerdings erstaunlich schwierig, die Verantwortlichen zu erreichen. Zerforschung erhielt zunächst keine Antwort auf die Schwachstellenmeldung, die das Kollektiv bereits in der Nacht von Dienstag auf Mittwoch an die belgische Werbeagentur, die Deutsche Bahn, das BMDV sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) verschickt hatten. Auch Nachfragen von ZEIT ONLINE blieben am Mittwoch und Donnerstag zunächst unbeantwortet.

Während die ethischen Hackerinnen auf eine Antwort warteten, entdeckten sie zudem eine ähnlich gelagerte Sicherheitslücke im Portal start-discover.eu, an dessen Entwicklung ebenfalls die belgische Agentur beteiligt war. Discover EU ist ein Programm der EU-Kommission, in dessen Rahmen sich 18-jährige EU-Bürgerinnen und Bürger auf ein kostenloses Interrail-Ticket bewerben konnten. Durch die Schwachstelle ließen sich beliebige Accounts anlegen, darunter auch Admin-Konten. Dadurch konnten die Forschenden unter anderem die Namen und E-Mail-Adressen von 250.000 18-Jährigen einsehen, die sich auf ein freies Ticket beworben hatten.

Eine Sprecherin von Eurail schrieb auf Nachfrage noch am Mittwochabend, dass es beim Freundschaftspass zwar „einige technische Probleme“ gegeben habe, aber „keine Schwachstellen festgestellt“ worden seien. Eine halbe Million Menschen sei während des Anmeldeprozesses online gewesen, es seien Formulareingaben von 154.000 Nutzern erfasst worden. Das sei eine gute Nachricht, sagte die Sprecherin: „Das herausragende Interesse an der Initiative Frankreich-Deutschland-Pass spricht für den Wunsch junger Menschen, andere Kulturen zu erkunden und mit der Bahn neue Kontakte auf nachhaltige Weise zu knüpfen.“

Noch Stunden nach dieser Äußerung war die Lücke nicht geschlossen. Zwar verschwand die Anmeldeseite, aber die Registrierung im Hintergrund war weiterhin offen. Erst als den durch die Sicherheitslücke erstellten Pass am Donnerstag an die Pressestellen des Verkehrsministeriums, der Deutschen Bahn und Eurail schickt, kommt Bewegung in die Sache; 40 Stunden, nachdem die Schwachstelle gemeldet wurde.

Am Freitagabend meldet sich schließlich auch die belgische Agentur bei ZEIT ONLINE, die nicht nur Freundschaftspässe, sondern auch 250.000 Datensätze junger EU-Bürgerinnen ungeschützt ins Netz gestellt hatte: Die Lücken seien geschlossen, man werde die Vorgänge genau untersuchen, verspricht der EU Business Director von MCI, Mieke Barbé.

Man werde zudem sicherstellen, dass die missbräuchlich beantragten Tickets identifiziert würden, ergänzte der Eurail-Pressesprecher in einer E-Mail. Es ist allerdings fraglich, ob das möglich ist. Pajowu berichtet jedenfalls, dass sich der Bestätigungscode noch am Sonntag testweise in der entsprechenden App für ein gültiges Ticket habe einlösen lassen.

Ob auch andere junge Menschen ihr „herausragendes Interesse“ an Bahnreisen – und IT-Sicherheit – unter Beweis stellten, indem sie sich durch die Sicherheitslücke ein Ticket besorgten? Darauf gibt der Sprecher keine Antwort …