Die Singapurer Veloleihfirma O-Bike hatte letzte Woche endlich wieder Positives zu berichten. «Bereits 10 Millionen Fahrten weltweit», verbreitete das Unternehmen via Pressemitteilung. Der Anbieter der gelben Mietvelos ist bereits in weltweit 60 Städten aktiv. Seit letztem Sommer auch in Zürich.

Angesichts der offenbar grossen Nachfrage will O-Bike künftig auch als Franchise funktionieren. Das heisst, die Firma stellt Fahrräder, Marke und Technologie zur Verfügung; Partner sorgen an neuen Standorten für das Marketing oder dafür, dass defekte Velos wieder eingesammelt werden. Im Visier hat das Unternehmen mit diesem Angebot auch die Schweizer Städte Bern, Basel, Genf und Lausanne. Angeblich führe man bereits Gespräche mit diversen Interessenten. Mieteinkünfte würden, so das Versprechen von O-Bike, zwischen den involvierten Parteien geteilt.

Gratisfahrten dank Codekniff

Wer sich auf den Deal einlässt, sollte sich allerdings nicht wundern, wenn am Ende niemand etwas verdient – selbst dann nicht, wenn die Velos dauernd unterwegs sind. Bereits Ende November hat eine Gruppe Computerwissenschaftler an der National University of Singapore gezeigt, wie einfach es ist, O-Bikes für Gratisfahrten zu entwenden. Drei Monate war das wissenschaftliche Paper öffentlich im Netz einsehbar, ohne dass die Firma reagiert hätte. Das tat sie erst nach der Anfrage des «Tages-Anzeigers».

Der TA hat sich von einem Sicherheits-Experten in den vergangenen Wochen vorführen lassen, wie der Cyberangriff funktioniert. Der Test zeigte: Bereits geringe Programmierkenntnisse reichten, um sich eine Gratisfahrt zu sichern.

Abstimmen Der Veloverleih allein dürfte lukrativ genug sein. 20.4% Die Firma hat es wohl in erster Linie auf die Kundendaten abgesehen. 41.3% Schwierig zu sagen, es muss mit dem Versperren des öffentlichen Raumes zu tun haben. 11.7% Das ist mir ein Rätsel 26.6% 3003 Stimmen Der Veloverleih allein dürfte lukrativ genug sein. 20.4% Die Firma hat es wohl in erster Linie auf die Kundendaten abgesehen. 41.3% Schwierig zu sagen, es muss mit dem Versperren des öffentlichen Raumes zu tun haben. 11.7% Das ist mir ein Rätsel 26.6% 3003 Stimmen



Vereinfacht lief die Attacke folgendermassen ab: Die gelben Velos kommunizieren selber nicht mit dem zentralen Buchungsserver. Sie tun das via Kundenhandys. Wer ein O-Bike mieten will, muss eine App auf dem Handy installieren, ein Nutzerkonto einrichten und einen sogenannten QR-Code scannen. Das löst eine Reihe von virtuellen Aktionen aus.

Ganze O-Bike-Flotte «defekt»

Die Kommunikation zwischen Server und Handy lässt sich allerdings kinderleicht mit ein paar Computercodes ändern. So wird das Rad zwar entriegelt, der Server aber gar nie darüber informiert. Da die Bestätigungsmeldung aussteht, wird das betreffende O-Bike als defekt markiert, während es eigentlich frisch und fröhlich durch die Strassen kurvt.

Der Angriff funktionierte nicht nur mit einzelnen Fahrrädern. In abgeänderter Form konnte der manipulierte Code auf die gesamte O-Bike-Flotte angewandt werden. Theoretisch hätte ein Angreifer Tausende O-Bikes als defekt melden können. Das Unternehmen, das vor einem Jahr mit einem Startkapital von immerhin über 50 Millionen US-Dollar lanciert wurde, wäre vor einem Debakel gestanden.

Der TA hat die Mietvelos aus Singapur in Zürich getestet. (Video: TA/Webvideo)

Nicht die erste Sicherheitslücke

Es ist nicht das erste Mal, dass bei O-Bike Sicherheitslücken festgestellt werden. Bereits im vergangenen September hatte der TA über eine offene Schnittstelle berichtet, die im Internet die Fahrten aller Kunden offenlegte und Daten auf einen Server nach Shanghai übermittelte.

O-Bike hat den Zugang zur Schnittstelle mittlerweile verschlüsselt und in Frankfurt einen Server eingerichtet, wo Daten von Schweizer Kunden heute gelagert werden. Doch wenige Wochen danach machte die «Süddeutsche Zeitung» die nächste O-Bike-Panne publik. Sie zeigte, wie Bike-Kundendaten – darunter Telefonnummern und E-Mail-Adressen – auf simpelste Art und Weise entwendet werden konnten. Auch dieses Loch konnte O-Bike mittlerweile stopfen.

Video: So geht O-Bike in Zürich vor

Die neuste Sicherheitslücke ist für O-Bike die wohl gravierendste. Das Singapurer Start-up hat immer wieder betont, dass sein Geschäftsmodell nicht auf Datenverkauf basiere. Man überlege sich allenfalls, Daten für Werbezwecke einzusetzen. Noch ist die App aber werbefrei. Wenn also Kunden mit einer manipulierten App die Bezahlung umgehen, bricht das Geschäft zusammen.

O-Bike prüft rechtliche Schritte

Daniel Junge, seit Oktober Länderchef von O-Bike-Schweiz, bedankte sich beim TA für den Hinweis auf den wissenschaftlichen Bericht der Singapurer Universität, von dem die Firma offenbar vorher nichts wusste. Kurz nach der Information durch den TA sei das Sicherheitsloch geschlossen worden. Tatsächlich funktioniert der Zugriff auf die Fahrräder mit der manipulierten Software aktuell nicht mehr.

«Die Publikation dokumentiert die rechtswidrige Manipulation unserer App. Sie stellt deshalb eine Verletzung der Urheberrechte des Unternehmens dar.»Daniel Junge, Länderchef O-Bike-Schweiz.

Ausserdem sei die Singapurer Universität angewiesen worden, den Bericht per sofort von ihrer Website zu löschen. «Die Publikation dokumentiert die rechtswidrige Manipulation unserer App. Sie stellt deshalb eine Verletzung der Urheberrechte des Unternehmens dar», sagt Junge. O-Bike prüfe derzeit, rechtliche Schritte einzuleiten. Seit Freitagmorgen ist die Dokumentation der Sicherheitslücke nicht mehr auf der Internet-Site der Universität zu finden.

Sicherheitsprobleme bei anderen Mietvelos

O-Bike ist nicht das einzige Online-Mietvelosystem, das mit Sicherheitsproblemen zu kämpfen hat. Das tut beispielsweise auch Smide von der Mobiliar. Der Versicherer wurde im vergangenen Juni von einem Sicherheitsexperten über eine Schwachstelle informiert. Der Experte, der namentlich nicht genannt werden will, zeigte auf, wie er alle 200 Mietvelos blockieren könnte. Auch diejenigen, die in voller Fahrt auf der Strasse unterwegs gewesen wären. Glücklicherweise blieb alles beim Konjunktiv. Die Mobiliar-Versicherung konnte die Sicherheitslücke zwei Tage später ohne Schaden schliessen.

So funktioniert die App Smide. (Video: Lea Blum und Patrice Siegrist)

Auch bei anderen stationslosen Velovermietern, die weltweit aktuell wie Pilze aus dem Boden schiessen, sind kleinere Sicherheitslücken aufgetaucht: Zum Beispiel bei den chinesischen Anbietern Onebike oder Mobike, oder bei den amerikanischen Diensten Jump und Limebike. Letztere stellen seit Anfang Jahr 250 Velos auf Zürcher Strassen zur Verfügung. Alle setzen technologisch auf ein teilweise ähnliches Prinzip wie O-Bike. Aber bei keiner Firma waren die entdeckten Sicherheitslücken so gravierend wie bei der Singapurer Firma.

Nutzerdaten wurden nicht gehackt

Dass die Qualität der eingesetzten Fahrräder nicht genügt, hat O-Bike selber bereits zugegeben. «Wir haben unser Lehrgeld bezahlt», sagte Ric Ye, Expansionschef des Singapurer Start-ups, kürzlich gegenüber der «Bilanz». Bis Ende Jahr sollen neue Velos in Zürich eintreffen. Sie seien grösser, stabiler und verfügten über drei Gänge.

Auch die O-Bike-App soll verbessert werden, sagt der Schweizer Länderchef Daniel Junge: «Als technologieorientiertes Unternehmen arbeiten wir kontinuierlich daran, unsere App zu aktualisieren und zu optimieren, um gewährleisten zu können, dass sie für unsere Nutzer sicher und sorgenfrei ist.» Der neuerliche Hack habe zu keinem Zeitpunkt personenbezogene Nutzerdaten offengelegt.

Video: Konkurrenzkampf in China

Die Liebe zum Drahtesel scheint im Reich der Mitte neu erwacht - befeuert durch Bike-Sharing-Apps.

