Datenleck bei der SBB: Datensätze von Swisspass-Besitzern waren öffentlich zugänglich
24-1-2022
Bilder: Thomas Kunz
Anfang Jahr ist bei der ÖV-Plattform «NOVA» ein Datenleck festgestellt worden. Einem IT-Experten gelang es mit einem einfachen Trick, über 500 000 Datensätze von SBB-Kunden herunterzuladen.
Die SBB hat am Montag über einen Hack informiert. Der Vorfall ereignete sich Anfang Jahr. In einer Medienmitteilung schreibt sie, der «Datenabfluss» sei umgehend behoben worden. Gemäss Recherchen der «Rundschau» von Schweizer Radio und Fernsehen (SRF) sind eine halbe Million Reisende des gesamten Swisspass-Verbunds betroffen.
Demnach sei es einem IT-Sicherheitsexperten mit einem einfachen Kniff gelungen, bei der SBB eine grosse Menge persönlicher Daten von Kundinnen und Kunden herunterzuladen. «Man braucht nicht einmal besonderes Fachwissen. Das hätte jeder gekonnt», erzählte er der SRF-Sendung «Rundschau». «Die sensiblen Daten lagen praktisch öffentlich im Netz.»
Konkret ist es dem IT-Sicherheitsexperten gelungen, Namen der Reisenden, das Geburtsdatum, die Anzahl gekaufter Tickets sowie der Abfahrts- und Zielort ausfindig zu machen. Theoretisch liesse sich damit ein Bewegungsprofil aller betroffenen Kunden erstellen, erklärte der Experte weiter.
Betroffen vom Datenleck ist der gesamte Swisspass-Verbund und damit praktisch sämtliche Betriebe des öffentlichen Verkehrs sowie alle Kundinnen und Kunden mit Halbtaxabo oder Generalabonnement.
SBB hat Sicherheitslücke geschlossen
Die Swisspass Alliance und die SBB haben die Schwachstelle eingeräumt. Es sei ein Fehler im System für Abo-Erneuerungen, schreibt die SBB in einer Medienmitteilung. Sie bitten die ÖV-Kundinnen und Kunden um Entschuldigung. Es sei den Kunden aber keinen Schaden entstanden. Die SBB informierten umgehend den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten und die beteiligten ÖV-Unternehmen. Zudem sei eine interne Untersuchung eingeleitet worden.
Der IT-Sicherheitsexperte hat den Daten-Klau über die Festtage begangen. Anschliessend hat er die SBB mit einem detaillierten Report über den Vorfall informiert. «Ich bin kein Krimineller. Ich will für den Datenschutz sensibilisieren», begründet er den Hack. Er habe sofort alle personenbezogenen Daten anonymisiert. Er betonte zudem, es sei durch ihn kein SBB-Kunde zu Schaden gekommen. «Die Bundesbahnen haben sehr schnell reagiert und das Loch hochprofessionell geschlossen.»
Richard Müller
Teamleader Editorial
Richard.Mueller@digitecgalaxus.chJournalist mit mehr als 20 Jahren Erfahrung – mehrheitlich im Online-Journalismus in verschiedenen Positionen. Mein Hauptarbeitsinstrument? Ein Notebook – am besten mit Internetverbindung. Diese Geräte haben es mir so sehr angetan, dass ich Notebooks und Computer immer wieder auch gerne auseinanderschraube, repariere und neu aufsetze. Warum? Weil es Spass macht!