Wegen einer Software-Schwachstelle in der Ticket-Verkaufsplattform für den öffentlichen Verkehr ist rund eine Million Datensätze abgeflossen. SBB und Alliance Swisspass räumen in einer Mitteilung einen Fehler ein. Den Kundinnen und Kunden sei kein Schaden entstanden, heisst es.
Betroffen ist die zentrale Vertriebsplattform Nova (Netzweite ÖV-Anbindung). Betrieben wird sie von den SBB im Auftrag der Alliance Swisspass. In der Datenbank werden Billett- und Abo-Informationen gespeichert. Mit ihr verknüpft sind der Webshop der SBB und Verkaufsplattformen von weiteren ÖV-Betrieben.
Der entscheidende Hinweis kam von einem externen IT-Spezialisten. Diesem sei es gelungen, innerhalb weniger Tage rund eine Million Datensätze abzufragen, hiess es in der Mitteilung. Das entspricht 0,2 Prozent aller Datensätze. Der Mann habe die Million Datensätze «unwiderruflich» gelöscht.
Die geleakten Datensätze enthielten Informationen über gekaufte Billetts und/oder die Gültigkeitsdauer von Abonnements. Rund die Hälfte der Datensätze war verknüpft mit Namen, Vornamen und Geburtsdaten von Kunden.
Die andere Hälfte der Datensätze enthielt unpersönliche Angaben zu an Automaten gekauften Billetts.
Angeblich keine Angaben flossen zu Wohnort, Zahlungsmitteln, Passwörtern und E-Mail-Adressen ab.
Die SBB hätten einen automatischen Datenabfluss festgestellt und diesen umgehend gestoppt, schilderte SBB-Sprecher Reto Schärli auf Anfrage der Nachrichtenagentur Keystone-SDA den Hergang. Zu diesem Zeitpunkt sei die Herkunft der Abfrage nicht klar gewesen.
Danach habe sich aber der externe IT-Fachmann bei den SBB gemeldet. «Dank seinem Hinweis konnte geklärt werden, dass er die Daten abgerufen hatte, und es konnten weitere Massnahmen umgesetzt werden», sagte Schärli.
Der IT-Fachmann, der die Daten geklaut hat, sagt gegenüber «SRF Rundschau»: «Man braucht nicht einmal besonderes Fachwissen. Das hätte jeder gekonnt. Die sensiblen Daten lagen praktisch öffentlich im Netz.»
Der Hacker begründet den Klau der Daten wie folgt: «Ich bin kein Krimineller. Ich will für den Datenschutz sensibilisieren.» Nach dem Hack habe er die SBB mit einem detaillierten Report über den Vorfall informiert.
SBB und Alliance Swisspass baten in ihrer Mitteilung die Kundschaft um Entschuldigung. Am Anfang des Vorgefallenen stand demnach eine Verbesserung der Sicherheit für die Abo-Erneuerung über die Plattform.
Danach hätten aber Kundinnen und Kunden mehrerer ÖV-Unternehmen ihre Abonnements nicht mehr auf «einfache Art und Weise» erneuern können. Deshalb hätten die SBB im Dezember den Zugang zum alten Mechanismus wieder ermöglicht. Das sei ein Fehler gewesen, denn damit sei die Schwachstelle entstanden.
Laut SBB und Alliance Swisspass können nun keine Daten mehr unbefugt von der Ticket-Verkaufsplattform abgefragt werden. Laut SBB-Sprecher Schärli wurden auch keine weiteren Datenabflüsse festgestellt.
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) und die beteiligten ÖV-Unternehmen wurden über den Vorfall informiert. Die SBB und die Digitale Gesellschaft hätten am 11. Januar den Vorfall gemeldet, bestätigte Silvia Böhlen, Sprecherin des Datenbeauftragten, auf Anfrage der Nachrichtenagentur Keystone-SDA.
Die SBB hätten glaubhaft nachweisen können, dass der Fehler seit dem 9. Januar behoben sei und dass mit hoher Wahrscheinlichkeit keine Kundendaten missbraucht worden seien, schrieb Böhlen. Deshalb bestünden nach geltendem Recht keine sofortigen Informations- und Meldepflichten.
Alle automatisierten Datenabfragen hätten auf den «Hack» durch die Digitale Gesellschaft zurückgeführt werden können, die die Schwachstelle in der Billett- und Abonnementdatenbank zufällig entdeckt habe, teilte Böhlen mit. Entgegen der Behauptung der digitalen Gesellschaft seien keine Bewegungsprofile und keine besonders schützenswerten Daten betroffen.
Um die Ursache des Fehlers zu finden, wurde eine interne Untersuchung eingeleitet. Wie lange diese dauern wird, konnte SBB-Sprecher Schärli nicht sagen.
(cma/aeg/sda)
Doch, das tönt sehr vertrauenserweckend.
Daten fliessen ab und es entsteht kein Schaden?!?
Wie können sie das einfach mal so sagen? Bei Swisspass sind ja auch keine wichtigen Daten zu Personen hinterlegt: keine Fotos, keine Kontaktdaten, keine Kreditkarten usw. (Ironie off)
Immer das Gleiche. Traurig.
Da wäre ich dann aber sehr froh, wenn die Medien genau nachfragen, was abgeflossen ist und wohin! Watson, bitte übernehmen!
Klar lässt sich nicht alles verhindern, aber die es hat viel zu wenig Konsequenzen für Firmen und den Schaden trägt man dann als Privatperson, die nur beschränkten Einfluss auf das Ganze hat (ausser natürlich mit Datensparsamkeit).
Klassiker. System wird eigentlich sicher implementiert. Weil dann aber irgendwelche Drittanbieter entweder noch nicht so weit sind oder unfähig sind, wird die Sicherheit wieder aktiv aufgeweicht, damit die Funktionalität wieder da ist. Kann mir gut vorstellen, dass die internen ITler dagegen protestiert haben. Schlussendlich hat dann das Management entschieden. Wird schon gut gehen.