Navigation
Wolkenfelder, kaum Regen 17°
DE | FR
Abschicken
    Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
    • Wirtschaft
    • Digital

    • Rund 1 Million Datensätze von SBB-Ticket-Verkaufsplattform geleakt

    Rund 1 Million Datensätze von SBB-Ticket-Verkaufsplattform geleakt

    24.01.2022, 11:3624.01.2022, 18:40
    Mehr «Wirtschaft»
    Tausende Bauarbeiter gehen in Zürich auf die Strasse
    29
    Westen auf dem Holzweg: Martullo-Blocher fordert Friedensverhandlung mit Putin
    465
    Die deutsche Gaskrise und wie sie die Schweiz trifft
    85
    IWF-Chefin: US-Wirtschaft kann Rezession wohl geradeso vermeiden
    1
    «Chefjammeri» Lampart packt in der Inflations-«Arena» den Zeigefinger aus
    126
    Native Ad
    «Was ist eigentlich BBQ, Texas Joe?» Ein Experte erklärt es uns
    51
    Promotion
    Wegen diesen 3 Fehlern versagst du am Grill
    Bild: KEYSTONE

    Wegen eines Lecks in der Ticket-Verkaufsplattform für den öffentlichen Verkehr ist rund eine Million Datensätze abgeflossen. SBB und Alliance Swisspass räumen in einer Mitteilung einen Fehler ein. Den Kunden sei kein Schaden entstanden.

    Betroffen ist die zentrale Vertriebsplattform Nova (Netzweite ÖV-Anbindung). Betrieben wird sie von den SBB im Auftrag der Alliance Swisspass. In der Datenbank werden Billett- und Abo-Informationen gespeichert. Mit ihr verknüpft sind der Webshop der SBB und Verkaufsplattformen von weiteren ÖV-Betrieben.

    Hinweis von aussen

    Der entscheidende Hinweis kam von einem externen IT-Spezialisten. Diesem sei es gelungen, innerhalb weniger Tage rund eine Million Datensätze abzufragen, hiess es in der Mitteilung. Das entspricht 0,2 Prozent aller Datensätze. Der Mann habe die Million Datensätze «unwiderruflich» gelöscht.

    Die geleakten Datensätze enthielten Informationen über gekaufte Billetts und/oder die Gültigkeitsdauer von Abonnements. Rund die Hälfte der Datensätze war ausschliesslich verknüpft mit Namen, Vornamen und Geburtsdaten von Kunden. Keine Angaben flossen zu Wohnort, Zahlungsmitteln, Passwörtern und E-mail-Adressen ab. Die andere Hälfte der Datensätze enthielt unpersönliche Angaben zu an Automaten gekauften Billetts.

    Die SBB hätten einen automatischen Datenabfluss festgestellt und diesen umgehend gestoppt, schilderte SBB-Sprecher Reto Schärli auf Anfrage der Nachrichtenagentur Keystone-SDA den Hergang. Zu diesem Zeitpunkt sei die Herkunft der Abfrage nicht klar gewesen.

    Danach habe sich aber der externe IT-Fachmann bei den SBB gemeldet. «Dank seinem Hinweis konnte geklärt werden, dass er die Daten abgerufen hatte, und es konnten weitere Massnahmen umgesetzt werden», sagte Schärli.

    Der IT-Fachmann, der die Daten geklaut hat, sagt gegenüber «SRF Rundschau»: «Man braucht nicht einmal besonderes Fachwissen. Das hätte jeder gekonnt. Die sensiblen Daten lagen praktisch öffentlich im Netz.» Der Hacker begründet den Klau der Daten wie folgt: «Ich bin kein Krimineller. Ich will für den Datenschutz sensibilisieren.» Nach dem Hack habe er die SBB mit einem detaillierten Report über den Vorfall informiert.

    «Ein Fehler»

    SBB und Alliance Swisspass baten in ihrer Mitteilung die Kundschaft um Entschuldigung. Am Anfang des Vorgefallenen stand demnach eine Verbesserung der Sicherheit für die Abo-Erneuerung über die Plattform.

    Danach hätten aber Kundinnen und Kunden mehrerer ÖV-Unternehmen ihre Abonnements nicht mehr auf «einfache Art und Weise» erneuern können. Deshalb hätten die SBB im Dezember den Zugang zum alten Mechanismus wieder ermöglicht. Das sei ein Fehler gewesen, denn damit sei die Schwachstelle entstanden.

    Laut SBB und Alliance Swisspass können nun keine Daten mehr unbefugt von der Ticket-Verkaufsplattform abgefragt werden. Laut SBB-Sprecher Schärli wurden auch keine weiteren Datenabflüsse festgestellt.

    EDÖB: Behebung glaubhaft nachgewiesen

    Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) und die beteiligten ÖV-Unternehmen wurden über den Vorfall informiert. Die SBB und die Digitale Gesellschaft hätten am 11. Januar den Vorfall gemeldet, bestätigte Silvia Böhlen, Sprecherin des Datenbeauftragten, auf Anfrage der Nachrichtenagentur Keystone-SDA.

    Die SBB hätten glaubhaft nachweisen können, dass der Fehler seit dem 9. Januar behoben sei und dass mit hoher Wahrscheinlichkeit keine Kundendaten missbraucht worden seien, schrieb Böhlen. Deshalb bestünden nach geltendem Recht keine sofortigen Informations- und Meldepflichten.

    Alle automatisierten Datenabfragen hätten auf den «Hack» durch die Digitale Gesellschaft zurückgeführt werden können, die die Schwachstelle in der Billett- und Abonnementdatenbank zufällig entdeckt habe, teilte Böhlen mit. Entgegen der Behauptung der digitalen Gesellschaft seien keine Bewegungsprofile und keine besonders schützenswerten Daten betroffen.

    Um die Ursache des Fehlers zu finden, wurde eine interne Untersuchung eingeleitet. Wie lange diese dauern wird, konnte SBB-Sprecher Schärli nicht sagen. (cma/aeg/sda)

    DANKE FÜR DIE ♥
    Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
    (Du wirst umgeleitet um die Zahlung abzuschliessen)
    5 CHF
    15 CHF
    25 CHF
    Anderer
    twint icon
    Oder unterstütze uns per Banküberweisung.
    Themen

    Das könnte dich auch noch interessieren:

    Abonniere unseren Newsletter

    48 Kommentare
    Zum Login
    user avatar
    Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
    Die beliebtesten Kommentare
    avatar
    insider
    24.01.2022 11:53registriert Juni 2016
    "... rund eine Million Datensätze abgeflossen. ... Den Kunden sei kein Schaden entstanden."
    Doch, das tönt sehr vertrauenserweckend.
    Daten fliessen ab und es entsteht kein Schaden?!?
    Wie können sie das einfach mal so sagen? Bei Swisspass sind ja auch keine wichtigen Daten zu Personen hinterlegt: keine Fotos, keine Kontaktdaten, keine Kreditkarten usw. (Ironie off)
    Immer das Gleiche. Traurig.
    Da wäre ich dann aber sehr froh, wenn die Medien genau nachfragen, was abgeflossen ist und wohin! Watson, bitte übernehmen!
    11230
    Melden
    Zum Kommentar
    avatar
    Andy
    24.01.2022 12:22registriert Januar 2014
    Unsere Daten werden wohl erst anständig geschützt, wenn Firmen entsprechende Konsequenzen über einen eigenen Reputationsschaden hinaus spüren. Es muss ernsthafte Konsequenzen haben, wenn Firmen hier ihre Verpflichtungen nicht genügend ernst nehmen und im Security-Bereich knausern.

    Klar lässt sich nicht alles verhindern, aber die es hat viel zu wenig Konsequenzen für Firmen und den Schaden trägt man dann als Privatperson, die nur beschränkten Einfluss auf das Ganze hat (ausser natürlich mit Datensparsamkeit).
    617
    Melden
    Zum Kommentar
    avatar
    kobL
    24.01.2022 15:17registriert Januar 2014
    "Weil danach aber Kunden mehrerer öV-Unternehmen ihre Abonnements nicht mehr auf «einfache Art und Weise» hätten erneuern können, hätten die SBB im Dezember den Zugang zum alten Mechanismus wieder ermöglicht. "

    Klassiker. System wird eigentlich sicher implementiert. Weil dann aber irgendwelche Drittanbieter entweder noch nicht so weit sind oder unfähig sind, wird die Sicherheit wieder aktiv aufgeweicht, damit die Funktionalität wieder da ist. Kann mir gut vorstellen, dass die internen ITler dagegen protestiert haben. Schlussendlich hat dann das Management entschieden. Wird schon gut gehen.
    431
    Melden
    Zum Kommentar
    48
    Meistgelesen
    1
    Warum die Milch bei Gewitter sauer wird – und 33 andere Fakten zu Blitz und Donner
    2
    «Wir müssen Apples Zwangsjacke ablegen, um innovativ zu sein»
    3
    Oberstes US-Gericht kippt Abtreibungsrecht – so reagieren Biden, Obama und Trump
    4
    Wissenschaftler entlarven E-Fuel-Autos als Energiefresser – die wichtigsten Fakten
    5
    Die 30 meistverkauften Bücher der Welt – wie viele kennst du?
    Meistkommentiert
    1
    Analverkehr und Transsexualität: SVP-Nationalrätin will «schändliche Broschüre» verbieten
    2
    Ukraine will alle Städte zurückerobern ++ Atom- Forschungszentrum in Charkiw beschossen
    3
    Westen auf dem Holzweg: Martullo-Blocher fordert Friedensverhandlung mit Putin
    4
    PICDUMP 422 – Abkühlung? Hier entlang! 🥵
    5
    Hat jemand «31 phänomenale Tierbilder» gesagt? 😍
    Meistgeteilt
    1
    Das kleine Litauen legt sich mit zwei Grossmächten an
    2
    «Binge-Watching» auf Netflix könnte bald vorbei sein
    3
    Nur noch vier Tage bis zum Wochenende – das feiern wir mit 27 Fails!
    4
    Der abtretende SCB-CEO Marc Lüthi: «Mir hat es nie an Selbstvertrauen gefehlt»
    5
    Fünf Fehler bei der Intimhygiene, die du vermeiden solltest
    Unterbruch nach Zugkollision in Zollikofen BE bis Mitternacht

    Die Behebung des Schadens nach der Kollision einer Lokomotive mit einem Bauzug in Zollikofen BE dauert länger als zunächst geplant. Nach Angaben der SBB vom Freitagmorgen dürften die Arbeiten nicht vor Mitternacht beendet sein. Betroffen ist die S-Bahnlinie 31 Bern-Belp-Biel.

    Zur Story