Ein kurioser Vorfall verwirrte Besucher der DB-Webseite. Nutzer von Linux-Betriebssystemen stießen auf eine unsichtbare Mauer.
Sehen Sie sich auch unsere Sachbücher zu den Themen Linux, KI, FOSS und Technologie an. Oder lesen Sie zauberhafte Geschichten. Unterstützen Sie den Blog durch den Kauf eines Ebooks.
Es handelte sich dabei nicht um einen technischen Defekt im klassischen Sinne, sondern um eine überempfindliche Sicherheitsmaßnahme, die versehentlich echte Reisende von Fahrplanauskünften und Ticketkäufen ausschloss. Der Fehlercode 751 tauchte auf dem Bildschirm auf und warf den Vorwurf in den Raum, der Browser verhalte sich wie ein automatisierter Bot. Diese Meldung erschien unabhängig davon, ob sich der betroffene Anwender zuvor bereits erfolgreich in sein Benutzerkonto eingeloggt hatte oder nicht. Die Situation war besonders frustrierend, da sie eine ganze Nutzergruppe diskriminierte, die eigentlich genauso berechtigt war, die Dienste des Unternehmens in Anspruch zu nehmen, wie alle anderen auch.
Die Ursache für diese bizarre Sperre ließ sich relativ schnell ausmachen. Es war schlichtweg der Begriff Linux im sogenannten User-Agent des Browsers. Diese technische Information übermittelt jeder Webbrowser an eine Webseite, um den verwendeten Browser und das Betriebssystem bekanntzugeben. Das Sicherheitssystem der Bahn schien diesen spezifischen Wert als Warnsignal zu interpretieren und blockierte die Verbindung umgehend. Medien wie heise online haben dies durch gezielte Tests bestätigt. Dabei wurde ein Linux-User-Agent auf Firefox unter Windows und auf Safari unter macOS aktiviert. In beiden Fällen erfolgte die Blockade durch die Webseite. Damit war bewiesen, dass nicht das Betriebssystem selbst das Problem darstellte, sondern allein die Information darüber, dass Linux genutzt wurde.
Der Ursprung dieses Problems lässt sich in sozialen Medien und Foren wie Reddit zurückverfolgen. Dort hatten Betroffene bereits darüber diskutiert, dass sie nach mehrfachem Klicken auf den Link für frühere Verbindungen (Fahrplan) plötzlich gesperrt wurden. Ein Nutzer aus der Community brachte den Verdacht auf, dass es sich um eine Reaktion auf eine Welle von sogenannten Vibe-Coded-Projekten handelt. Dabei ging es um Softwarelösungen, die entwickelt worden waren, um Fahrpreise der Bahn automatisiert zu scrapen und Daten aus dem System zu extrahieren. Die IT-Abteilung der Deutschen Bahn, bekannt als DB Systel, hatte offenbar versucht, diesen automatisierten Zugriffen einen Riegel vorzuschieben. Leider wurde dabei die Schraube zu fest angezogen und traf dabei auch die reguläre Kundschaft. In den Kommentaren der betroffenen Foren meldete sich sogar ein Mitarbeiter der Bahn zu Wort, der bestätigte, dass die internen IT-Probleme der DB Systel für die Mitarbeiter selbst ebenfalls eine tägliche Herausforderung darstellen.
Die offizielle Reaktion des Unternehmens kam über eine Sprecherin gegenüber den Medien. Sie betonte, dass Linux-Nutzer grundsätzlich die Nutzung von bahn.de und der DB-Navigator-App ohne Einschränkungen ermöglicht werden soll. Die Sicherheitsmechanismen analysierten das Verhalten des Datenverkehrs, die Herkunft der Anfragen und verschiedene Eigenschaften des Browsers, um potenzielle Bedrohungen zu identifizieren. Dabei könne es leider vorkommen, dass normale Nutzer fälschlicherweise in dieses Sicherheitsnetz geraten. Das Unternehmen versicherte, dass aktiv an einer Lösung gearbeitet werde, um diese Fehlalarme in Zukunft zu minimieren. Spätere Tests zeigten jedoch, dass die Problematik nicht sofort vollständig behoben war, da weiterhin Sperren auftraten, wenn ein Linux-User-Agent auf einem anderen Betriebssystem emuliert wurde.
Interessanterweise scheinen erste Verbesserungen bereits greifbar zu sein. Eigene Tests an einem Fedora-System mit aktivem VPN sowie an einer Ubuntu-Virtualmaschine ergaben, dass die Webseite wieder uneingeschränkt erreichbar war. Dies deutet darauf hin, dass die IT-Verantwortlichen die Regeln für die Bot-Erkennung angepasst haben. Es bleibt dennoch die befürchtete Möglichkeit bestehen, dass einzelne Fehlerfälle sporadisch weiterhin auftreten können. Solche Vorfälle zeigen exemplarisch, wie schwierig der Balanceakt zwischen Sicherheit und Benutzerfreundlichkeit im digitalen Zeitalter ist. Automatisierte Systeme sind notwendig, um Missbrauch und Datenabgriffe zu verhindern. Wenn diese Systeme jedoch zu grobmaschig filtern, leiden darunter genau diejenigen, die den Service eigentlich nutzen sollen.
Dies ist eine Lehrgeschichte für alle IT-Abteilungen, die sich mit Bot-Prävention beschäftigen. Eine pauschale Blockade basierend auf einem einzelnen Textfeld in der Browser-Identifikation ist keine professionelle Lösung. Stattdessen bedarf es einer differenzierteren Analyse des Nutzerverhaltens. Ein Mensch, der planmäßig nach Verbindungen sucht, verhält sich anders als ein Skript, das tausende Anfragen pro Sekunde abfeuert. Die Unterscheidung sollte auf diesem Verhalten basieren und nicht auf dem Namen des Betriebssystems. Open-Source-Nutzer, zu denen mittlerweile mehr Menschen gehören als öffentlich zugegeben wird, fühlen sich durch solche Maßnahmen oft unverstanden und ausgeschlossen. Es ist wichtig, dass Unternehmen wie die Deutsche Bahn lernen, diese Nutzergruppe wertzuschätzen und nicht als Verdachtsmoment zu betrachten. Die technische Infrastruktur muss so flexibel sein, dass sie echte Bedrohungen erkennt, ohne dabei die breite Masse der legitimen Nutzer zu behindern.
Was soll man sagen? Absichtliche Diskriminierung von Linux-Nutzern? Totaler Kompetenzmangel? Zufall? (Ja, sicher …) Angst vor Menschen mit dem Wunsch nach digitaler Selbstbestimmung? Ihr wisst, was ich meine …