Panne bei den SBB. Einem IT-Sicherheitsexperten ist es mit einem einfachen Kniff gelungen, bei den SBB eine gewaltige Menge persönlicher Daten von Kundinnen und Kunden herunterzuladen.
Der externe IT-Spezialist stiess auf diese Schwachstelle und konnte Anfang Januar 2022 innert weniger Tage automatisiert rund eine Million Datensätze herunterladen. Er informierte daraufhin die SBB über den Hack und der «Datenabfluss konnte umgehend behoben werden», schreiben die SBB. Den Kundinnen und Kunden entstand kein Schaden.
Die Daten enthielten Informationen über gekaufte Billette und/oder die Gültigkeitsdauer von Abos. Rund die Hälfte der Datensätze war ausschliesslich verknüpft mit Name, Vorname und Geburtsdatum von ÖV-Kundinnen und -Kunden. Die Datensätze enthielten keinerlei Angaben zu Wohnort, Zahlungsmitteln, Passwörtern oder E-Mail-Adressen, wie die SBB in einem Statement mitteilen.
Sensible Daten lagen öffentlich im Netz
«Man braucht nicht einmal besonderes Fachwissen. Das hätte jeder gekonnt», erzählt der IT-Experte der «SRF Rundschau». «Die sensiblen Daten lagen praktisch öffentlich im Netz.» Nach einer Million Datensätzen von Tausenden von Kunden habe er dann aufgehört, weiter herunterzuladen. «Theoretisch hätte ich wohl Hunderte Millionen Ticketdaten herunterladen können», so der Informatiker weiter zur Rundschau.
Die SBB informierte umgehend den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) und die beteiligten ÖV-Unternehmen. Auch ist eine interne Untersuchung eingeleitet worden, um die Ursache des Fehlers zu eruieren. Die Alliance Swisspass als Auftraggeberin der Plattform und die SBB als Betreiberin bitten die ÖV-Kundinnen und -Kunden um Entschuldigung. Die SBB unternimmt sehr grosse Anstrengungen in Sachen IT-Sicherheit, gerade auch was Kundendaten betrifft. Die IT-Systeme werden permanent Analysen unterzogen, um Angriffsmöglichkeiten zu unterbinden.
