Deutsche Bahn: „Keine generelle Sperre einzelner Betriebssysteme“

Die Deutsche Bahn scheint insbesondere Linux-Rechner von der Verbindungssuche auf der bahn.de-Webseite auszuschließen. Spätestens nach einigen Klicks für weitere Reisezeiträume erscheint eine Fehlerseite mit dem Fehlercode 751 und der Beschreibung „das Verhalten Ihres Browsers ähnelt dem eines Bots“ – auch am Donnerstag dieser Woche noch. Die Bahn hat nun eine Erklärung dazu geliefert.

Auf Anfrage von heise online sagte eine Sprecherin der Deutschen Bahn, dass es keine generelle Sperre einzelner Betriebssysteme gebe: „Grundsätzlich können sowohl die Website bahn.de als auch der DB Navigator mit Linux-Betriebssystemen und weniger verbreiteten Browser-/Betriebssystemkombinationen genutzt werden.“ Im Gegenteil: Die Bahn unterstütze eine Vielzahl von Systemen.

Allerdings setze das Unternehmen zur Gewährleistung der Sicherheit von Kundinnen und Kunden und zur Abwehr automatisierter Angriffe auf „zeitgemäße Schutzmechanismen“, die „Zugriffsverhalten, Netzwerk- bzw. IP-Adressbereiche sowie technische Besonderheiten des Browsers bewerten“. Es handele sich um heuristisch arbeitende Systeme, die sich an Hinweisen und Mustern orientieren, um mögliche Risiken zu erkennen.

Deutsche Bahn: Fehlalarme möglich

Fehlalarme („False Positives“) könnten in seltenen Fällen bei den eingesetzten Erkennungsmechanismen nicht ausgeschlossen werden, führte die Sprecherin weiter aus. Reguläre Zugriffe könnten dadurch „vorübergehend fälschlicherweise als verdächtig eingestuft und eingeschränkt werden“. Die Bahn arbeite daran, die Erkennungsmechanismen zu verbessern und Fehlalarme zu reduzieren. Alle der Bahn bekannten Fälle seien ausgewertet worden. Die Erkenntnisse sollen fortlaufend zur Verbesserung der Systeme und deren Anpassung an „reale Nutzungsszenarien“ genutzt werden.

Ein Auslöser zum Einsatz solcher Schutzmechanismen können Bots sein, die systematisch Daten zu Verbindungen und vor allem Verspätungen abrufen. Solches Scraping gibt es schon länger. Die große Verbreitung von KI-Coding-Werkzeugen, mit denen auch private Bastler mit wenig oder gar keiner Programmiererfahrung Software bauen können, die Daten bei der Bahn abruft, dürfte viele Bot-Aufrufe zur Folge haben. Wenn Laien der KI keine Vorgaben machen, beschafft sie sich oftmals die Daten ressourcenintensiv über Scraping der Website.

Dabei gibt es eine Alternative: Die Bahn stellt viele Daten über eine offene API zur Verfügung. Damit lassen sich mittlerweile auch wieder Soll- und Ist-Daten zu Verbindungen abfragen.

Ein rascher Test unter Windows mit auf Linux geänderten User-Agent im Webbrowser liefert aber noch immer das Verhalten, dass die Suche nach einer Verbindung sofort eine Bot-Warnung auswirft. Mit Windows-User-Agent kommen hingegen die erwarteten Verbindungsdaten. Das Problem ist daher weiterhin ungelöst.

(dmk)