Für die SBB war der Vorfall an Peinlichkeit kaum zu überbieten: Ein Hacker griff bei den Schweizerischen Bundesbahnen Anfang Jahr eine Million Kundendaten ab. Der Datenklau war beängstigend leicht zu bewerkstelligen, wie IT-Spezialisten sagen. Der Hacker musste dafür lediglich einige leichte Anpassungen an der Website-URL vornehmen. Das hätte auch ein Laie hingekriegt, heisst es in IT-Kreisen.
Die SBB informierten ihre Kundschaft und die Öffentlichkeit am 24. Januar über den Hackerangriff. «Dank einem Hinweis» habe die Schwachstelle im System «umgehend behoben werden können», so der Konzern. Wie Blick-Recherchen nun zeigen, wären die SBB aber überhaupt nicht auf externe Hinweise angewiesen gewesen. Die Bundesbahnen haben das eigene Versagen rund um den Hackerangriff im Januar gewaltig heruntergespielt.
«Solche Daten sind hochgefragt»
Interne Dokumente, die Blick vorliegen, zeigen, dass die SBB mit diesen Kundendaten hochgradig fahrlässig umgegangen sind: Die SBB wussten mehr als dreieinhalb Jahre lang über die Schwachstelle Bescheid – ohne diese zu schliessen. Schon im März 2018 hatten IT-Spezialisten intern darauf aufmerksam gemacht. Passiert ist danach aber nichts. Im Januar 2020 meldete ein externer Spezialist erneut, dass die Kundendaten wie bei einem offenen Scheunentor zugänglich sind. Doch die SBB blieben auch dieses Mal untätig.
Die Schwachstelle: Die SBB betreiben für den nationalen ÖV-Verbund Alliance Swisspass die Vertriebsplattform Nova. Andere ÖV-Anbieter können ihre Kundenabos über einen Zugangslink auf dieser Plattform verlängern. Wer diesen Link manipulierte, erhielt Zugriff auf Namen, Vornamen und Geburtstage von ÖV-Kunden.
Fahrlässiger Umgang mit Daten
«Es ist korrekt, dass die SBB im 2018 erste Hinweise von IT-Spezialisten erhielten», sagt Reto Hügli, Sprecher der Alliance Swisspass, an die die SBB verweist. Die Fragen werden jedoch nur sehr ausweichend beantwortet.
So wird der neue Sicherheitsmechanismus auf der Plattform erwähnt, den die SBB im November 2020 eingeführt haben. Damit sei die Schwachstelle geschlossen worden, heisst es weiter. Doch das stimmt nicht ganz. Auf Nachhaken hin wird eingeräumt, dass die Sicherheitslücke auch Ende November 2021 noch offen war – erst dann wurde der alte Link deaktiviert.
Weil die ÖV-Anbieter mit dem neuen Zugangslink Probleme hatten, die Abonnements ihrer Kunden auf einfache Weise zu erneuern, aktivierten die SBB den alten Zugang aber schon im Dezember 2021 wieder. «Der Schritt erfolgte mit der guten Absicht, ein relevantes Kundenproblem zu lösen. Dabei wurden die Risiken falsch eingeschätzt», sagt Sprecher Reto Hügli. Wie die dreieinhalb Jahre zuvor auch schon.
500 Millionen Daten im Netz
Dieses Mal blieb die Lücke aber nicht unbemerkt: Am 9. Januar 2022 begann ein Hacker damit, Kundendaten von der Plattform herunterzuladen und klaute so eine Million von 500 Millionen verfügbaren Daten. Die SBB bekundeten dabei grosses Glück: Der Angriff wurde von einem sogenannten ethischen Hacker durchgeführt, die nach Sicherheitslücken in System suchen und die Firmen dann darauf aufmerksam machen. Der Hacker löschte die geklauten Kundendaten im Anschluss wieder.
Die Schwachstelle sei nach dem Vorfall umgehend behoben worden, sagen die SBB. Danach erstatteten die SBB beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten Meldung und leiteten eine interne Untersuchung ein. Unabhängige Experten sollten die Ursache des Fehlers eruieren.
Das Ergebnis: «Mehrere Faktoren gaben den Ausschlag, am Anfang stand eine Fehleinschätzung. Die SBB haben nun entsprechende Massnahmen abgeleitet, damit das Sicherheitsbewusstsein und der Umgang mit Risiken weiter geschärft wird. Dank den optimierten Prozesse kann bei entdeckten Risiken schneller reagiert werden», sagt Swisspass-Sprecher Reto Hügli.
SBB setzte auf Charmeoffensive
Was ein Hacker mit solchen Daten anstellen kann, erklärt Otto Hostettler (55), Experte für Internet-Kriminalität und «Beobachter»-Journalist. «Solche Daten sind bei Kriminellen im Netz hochgefragt. Sie können mit Daten aus anderen Diebstählen verknüpft, veredelt und dann für Phishing-Angriffe genutzt werden.» Bei Phishing-Angriffen versuchen Hacker beispielsweise, Logins, Kreditkartennummern oder vertrauliche Firmeninformationen zu stehlen.
Hostettler geht mit den SBB hart ins Gericht: «So etwas darf unter keinen Umständen passieren. Wenn man Hinweise hat, dass derart riesige Datensätze so verwundbar sind, muss man alles tun, damit diese Lücke geschlossen werden kann.»
Nachdem der Schaden angerichtet war, starteten die SBB auf dem eigenen Newsportal eine regelrechte Charmeoffensive. In mehreren Artikeln wurden die Anstrengungen im Umgang mit sensiblen Kundendaten hervorgehoben. Es sollte dabei auf keinen Fall der Eindruck entstehen, fahrlässig mit solchen Daten umzugehen. Dass die SBB die Schwachstelle jahrelang ignorierten, zeichnet allerdings ein anderes Bild.