Deutsche Bahn fordert zum Update der DB-Navigator-App aus Sicherheitsgründen auf
"Aktualisieren Sie jetzt Ihre DB Navigator App!" hieß es in einer E-Mail-Aussendung der Deutschen Bahn, die Notebookcheck.com am 15. Februar 2022 erreichte und die vermutlich an alle Kunden mit Kundenkonto bei der Deutschen Bahn ging. Ein Update ist bis zum 24. Februar notwendig, so die E-Mail. Danach wird die App nicht mehr funktionieren, wenn sie nicht aktuell genug ist. Die Begründung ist allerdings überraschend unklar in der Formulierung.
So heißt es in der E-Mail: "Veraltete Versionen stellen ein Sicherheitsrisiko dar." Das klingt, insbesondere durch die Fristsetzung, nach einer akuten Bedrohungslage durch eine schwere Sicherheitslücke. Doch eines machte uns stutzig. Ein Update gab es in den letzten Wochen nicht. Ein Blick auf die Changelogs zeigt, dass der DB Navigator zuletzt etwa Mitte Januar im Apple App Store, im Google Play Store und in der Huawei App Gallery aktualisiert wurde.
Von einem Sicherheitsproblem ist dort allerdings nichts zu sehen. Vielmehr wurde in regelmäßigen neuen Versionen "Wir optimieren die App regelmäßig, um dein Reiseerlebnis zu verbessern" angegeben und auf Detailänderungen wie neue Verbünde oder Angebote hingewiesen.
Hinweise darauf, dass in Zukunft eine App-Version vom Oktober oder Dezember 2021 notwendig ist, wie es in der E-Mail heißt, gibt es nicht.
Deutsche Bahn klärt auch auf Nachfrage die Situation kaum auf
Notebookcheck.com fragte daher zunächst bei der Deutschen Bahn nach, was es mit der E-Mail auf sich hat. Dabei bliebt der Konzern jedoch unspezifisch. "Wir führen beim DB Navigator regelmäßig Updates durch und erhöhen dabei jedes Mal die Sicherheit für unsere Nutzer:innen. Nur die aktuellen App-Versionen garantieren das höchstmögliche Maß an Sicherheit für alle Funktionen und Angebote in der App.", schrieb eine Unternehmenssprecherin auf Anfrage.
Weiter hieß es, dass das aktuelle Update "Login-Verfahren mit zusätzlichen Sicherheitsfeatures" bietet, ohne näher auf diese Funktionen einzugehen. Alte App-Versionen unterstützen diese Funktionen nicht, so die Sprecherin. Im Interesse der Kundschaft werden alte Apps daher ab dem 24. Februar 2022 nicht mehr unterstützt.
Möglicherweise hängt das mit der Zwei-Faktor-Authentifizierung der Deutschen Bahn zusammen. Es ist bereits möglich einen zweiten Faktor einzurichten. Entweder mit Transaktionsnummern die per SMS versendet werden (SMS-TAN) oder mit einer Authenticator-App, wie sie unter dem Menü-Punkt Login-Daten beispielsweise auf der Homepage eingerichtet werden kann. Weitere Informationen zur Einrichtung hat die Deutsche Bahn schon seit geraumer Zeit in einer FAQ gesammelt.
DB Vertrieb hat seine Geschäftskunden bereits vor einiger Zeit mit einem Flyer informiert, der auf den 1. Oktober 2021 datiert ist (PDF).
Die Einrichtung der Zwei-Faktor-Authentifizierung (2FA) ist grundsätzlich empfehlenswert. Phishing-Angriffe werden dadurch zwar nicht unmöglich aber doch erheblich erschwert. Attacken auf Nutzerkonten lohnen sich daher kaum.
Sonderlich bekannt ist die Funktion anscheinend nicht. Selbst auf Twitter sind nur vereinzelt Tweets zu dem Thema zu finden.
Wir erweitern unser Team und suchen News-Redakteure sowie Unterstützung für unsere Video-Produktion im Raum Hamburg.
Details