Wirtschaft
Digital

Rund 1 Million Datensätze von SBB-Ticket-Verkaufsplattform geleakt

Rund 1 Million Datensätze von SBB-Ticket-Verkaufsplattform geleakt

24.01.2022, 11:3617.08.2022, 08:44
Mehr «Wirtschaft»
Der SwissPass ist zu sehen an einer Medienkonferenz in Bern am Dienstag, 10. Maerz 2015. Eine rote Chipkarte namens "SwissPass" ersetzt ab August die GA- und Halbtax-Karten. Ab 2016 sollen a ...
Die SBB hätten glaubhaft nachweisen können, dass der Fehler seit dem 9. Januar behoben sei, heisst es aus dem Büro des eidgenössischen Datenschützers.Bild: KEYSTONE

Wegen einer Software-Schwachstelle in der Ticket-Verkaufsplattform für den öffentlichen Verkehr ist rund eine Million Datensätze abgeflossen. SBB und Alliance Swisspass räumen in einer Mitteilung einen Fehler ein. Den Kundinnen und Kunden sei kein Schaden entstanden, heisst es.

Betroffen ist die zentrale Vertriebsplattform Nova (Netzweite ÖV-Anbindung). Betrieben wird sie von den SBB im Auftrag der Alliance Swisspass. In der Datenbank werden Billett- und Abo-Informationen gespeichert. Mit ihr verknüpft sind der Webshop der SBB und Verkaufsplattformen von weiteren ÖV-Betrieben.

Hinweis von aussen

Der entscheidende Hinweis kam von einem externen IT-Spezialisten. Diesem sei es gelungen, innerhalb weniger Tage rund eine Million Datensätze abzufragen, hiess es in der Mitteilung. Das entspricht 0,2 Prozent aller Datensätze. Der Mann habe die Million Datensätze «unwiderruflich» gelöscht.

Die geleakten Datensätze enthielten Informationen über gekaufte Billetts und/oder die Gültigkeitsdauer von Abonnements. Rund die Hälfte der Datensätze war verknüpft mit Namen, Vornamen und Geburtsdaten von Kunden.

Die andere Hälfte der Datensätze enthielt unpersönliche Angaben zu an Automaten gekauften Billetts.

Angeblich keine Angaben flossen zu Wohnort, Zahlungsmitteln, Passwörtern und E-Mail-Adressen ab.

Die SBB hätten einen automatischen Datenabfluss festgestellt und diesen umgehend gestoppt, schilderte SBB-Sprecher Reto Schärli auf Anfrage der Nachrichtenagentur Keystone-SDA den Hergang. Zu diesem Zeitpunkt sei die Herkunft der Abfrage nicht klar gewesen.

Danach habe sich aber der externe IT-Fachmann bei den SBB gemeldet. «Dank seinem Hinweis konnte geklärt werden, dass er die Daten abgerufen hatte, und es konnten weitere Massnahmen umgesetzt werden», sagte Schärli.

Der IT-Fachmann, der die Daten geklaut hat, sagt gegenüber «SRF Rundschau»: «Man braucht nicht einmal besonderes Fachwissen. Das hätte jeder gekonnt. Die sensiblen Daten lagen praktisch öffentlich im Netz.»

Der Hacker begründet den Klau der Daten wie folgt: «Ich bin kein Krimineller. Ich will für den Datenschutz sensibilisieren.» Nach dem Hack habe er die SBB mit einem detaillierten Report über den Vorfall informiert.

«Ein Fehler»

SBB und Alliance Swisspass baten in ihrer Mitteilung die Kundschaft um Entschuldigung. Am Anfang des Vorgefallenen stand demnach eine Verbesserung der Sicherheit für die Abo-Erneuerung über die Plattform.

Danach hätten aber Kundinnen und Kunden mehrerer ÖV-Unternehmen ihre Abonnements nicht mehr auf «einfache Art und Weise» erneuern können. Deshalb hätten die SBB im Dezember den Zugang zum alten Mechanismus wieder ermöglicht. Das sei ein Fehler gewesen, denn damit sei die Schwachstelle entstanden.

Laut SBB und Alliance Swisspass können nun keine Daten mehr unbefugt von der Ticket-Verkaufsplattform abgefragt werden. Laut SBB-Sprecher Schärli wurden auch keine weiteren Datenabflüsse festgestellt.

EDÖB: Behebung glaubhaft nachgewiesen

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) und die beteiligten ÖV-Unternehmen wurden über den Vorfall informiert. Die SBB und die Digitale Gesellschaft hätten am 11. Januar den Vorfall gemeldet, bestätigte Silvia Böhlen, Sprecherin des Datenbeauftragten, auf Anfrage der Nachrichtenagentur Keystone-SDA.

Die SBB hätten glaubhaft nachweisen können, dass der Fehler seit dem 9. Januar behoben sei und dass mit hoher Wahrscheinlichkeit keine Kundendaten missbraucht worden seien, schrieb Böhlen. Deshalb bestünden nach geltendem Recht keine sofortigen Informations- und Meldepflichten.

Alle automatisierten Datenabfragen hätten auf den «Hack» durch die Digitale Gesellschaft zurückgeführt werden können, die die Schwachstelle in der Billett- und Abonnementdatenbank zufällig entdeckt habe, teilte Böhlen mit. Entgegen der Behauptung der digitalen Gesellschaft seien keine Bewegungsprofile und keine besonders schützenswerten Daten betroffen.

Um die Ursache des Fehlers zu finden, wurde eine interne Untersuchung eingeleitet. Wie lange diese dauern wird, konnte SBB-Sprecher Schärli nicht sagen.

(cma/aeg/sda)

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das könnte dich auch noch interessieren:
46 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
insider
24.01.2022 11:53registriert Juni 2016
"... rund eine Million Datensätze abgeflossen. ... Den Kunden sei kein Schaden entstanden."
Doch, das tönt sehr vertrauenserweckend.
Daten fliessen ab und es entsteht kein Schaden?!?
Wie können sie das einfach mal so sagen? Bei Swisspass sind ja auch keine wichtigen Daten zu Personen hinterlegt: keine Fotos, keine Kontaktdaten, keine Kreditkarten usw. (Ironie off)
Immer das Gleiche. Traurig.
Da wäre ich dann aber sehr froh, wenn die Medien genau nachfragen, was abgeflossen ist und wohin! Watson, bitte übernehmen!
11230
Melden
Zum Kommentar
avatar
Andy
24.01.2022 12:22registriert Januar 2014
Unsere Daten werden wohl erst anständig geschützt, wenn Firmen entsprechende Konsequenzen über einen eigenen Reputationsschaden hinaus spüren. Es muss ernsthafte Konsequenzen haben, wenn Firmen hier ihre Verpflichtungen nicht genügend ernst nehmen und im Security-Bereich knausern.

Klar lässt sich nicht alles verhindern, aber die es hat viel zu wenig Konsequenzen für Firmen und den Schaden trägt man dann als Privatperson, die nur beschränkten Einfluss auf das Ganze hat (ausser natürlich mit Datensparsamkeit).
617
Melden
Zum Kommentar
avatar
kobL
24.01.2022 15:17registriert Januar 2014
"Weil danach aber Kunden mehrerer öV-Unternehmen ihre Abonnements nicht mehr auf «einfache Art und Weise» hätten erneuern können, hätten die SBB im Dezember den Zugang zum alten Mechanismus wieder ermöglicht. "

Klassiker. System wird eigentlich sicher implementiert. Weil dann aber irgendwelche Drittanbieter entweder noch nicht so weit sind oder unfähig sind, wird die Sicherheit wieder aktiv aufgeweicht, damit die Funktionalität wieder da ist. Kann mir gut vorstellen, dass die internen ITler dagegen protestiert haben. Schlussendlich hat dann das Management entschieden. Wird schon gut gehen.
431
Melden
Zum Kommentar
46
4-Tage-Woche: Erstes grosses Pilotprojekt in der Schweiz
Immer mehr Länder und Unternehmen testen die 4-Tage-Woche. Nun soll bald auch in der Schweiz ein gross angelegtes Pilotprojekt beginnen. Das Wichtigste zu den bisherigen Erkenntnissen, zur 4-Tage-Woche weltweit und in der Schweiz.

Vier Tage in der Woche arbeiten, drei Tage pausieren – und trotzdem 100 Prozent des Lohnes erhalten: Für viele klingt das zu gut, um wahr zu sein. Und trotzdem ist die 4-Tage-Woche seit einiger Zeit auf dem Vormarsch.

Zur Story