- Wegen eines Datenlecks bei der SBB gelangte ein IT-Experte an Tausende Daten von Swisspass-Kundinnen und -Kunden.
- Gemäss Recherchen der «Rundschau» sind eine halbe Million Reisende des gesamten Swisspass-Verbunds betroffen.
- Die SBB ist über den Hack informiert und schreibt in einem Statement , der «Datenabfluss» habe umgehend behoben werden können.
Einem IT-Sicherheitsexperten ist es mit einem einfachen Kniff gelungen, bei der SBB eine gewaltige Menge persönlicher Daten von Kundinnen und Kunden herunterzuladen. «Man braucht nicht einmal besonderes Fachwissen. Das hätte jeder gekonnt», erzählt er der SRF-Sendung «Rundschau» im exklusiven Interview. «Die sensiblen Daten lagen praktisch öffentlich im Netz.»
Namen, Geburtsdaten und Reiserouten
Der riesige Datensatz des IT-Experten hat es in sich: Da stehen Namen der Reisenden, das Geburtsdatum, die Anzahl gekaufter Tickets erster oder zweiter Klasse sowie der Abfahrts- und Zielort. Und das eine Million Mal und von rund 500'000 Kundinnen und Kunden des öffentlichen Verkehrs. Theoretisch liesse sich damit ein Bewegungsprofil aller betroffenen Kunden erstellen, so der IT-Sicherheitsexperte gegenüber der «Rundschau».
Das ist ein Super-GAU für die SBB. Der Datensatz hätte in den falschen Händen ein grosses Missbrauchspotenzial.
Betroffen vom Datenloch ist der ganze Swisspass-Verbund und damit praktisch alle Betriebe des öffentlichen Verkehrs und alle Kundinnen und Kunden mit Halbtaxabo.
«Das ist ein Super-GAU für die SBB», kommentiert Otto Hostettler den Leak. Der Journalist ist Experte für Internet-Kriminalität und Buchautor. «Solche Daten lassen sich sehr gut in Hackerforen im Darknet verkaufen. Der Datensatz hätte in den falschen Händen ein grosses Missbrauchspotential», ist Hostettler überzeugt.
Grosse Gefahr sieht er, wenn die SBB-Daten mit anderen geklauten Daten ergänzt werden. Daraus können Kriminelle gezielt personalisierte Attacken lancieren, beispielsweise Erpressungen – auch von exponierten Personen wie Firmenchefs oder Politikern.
SBB hat reagiert und Lücke gestopft
Die Swisspass Alliance und die SBB haben heute Vormittag die «Schwachstelle» eingeräumt. Es sei ein Fehler passiert im System für Abo-Erneuerungen, heisst es in einer Mitteilung. Sie bitten die ÖV-Kundinnen und Kunden um Entschuldigung. Es sei den Kunden aber kein Schaden entstanden.
Die Sicherheitslücke sei dank der Information des Hackers geschlossen. «Die unbefugte, automatisierte Abfrage von Daten ist nicht mehr möglich», so die Swisspass Alliance. Die SBB informierte umgehend den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten und die beteiligten ÖV-Unternehmen. Zudem sei eine interne Untersuchung eingeleitet worden.
SBB-Mediensprecher Reto Schärli ergänzt gegenüber «10vor10»: «Es ist ganz klar: Diese Schwachstelle hätte nicht sein dürfen.» Die SBB habe auch eine interne Untersuchung eingeleitet, um der Ursache genau auf den Grund zu gehen und um sicherzustellen, dass dies in Zukunft nicht mehr passiere.
Ich bin kein Krimineller. Ich will für den Datenschutz sensibilisieren.
Der IT-Sicherheitsexperte hat den Daten-Klau über die Festtage begangen. Anschliessend hat er die SBB mit einem detaillierten Report über den Vorfall informiert. «Ich bin kein Krimineller. Ich will für den Datenschutz sensibilisieren», begründet er den Hack.
Er habe sofort alle personenbezogenen Daten anonymisiert. Auch er betont, es sei durch ihn kein SBB-Kunde zu Schaden gekommen. Der SBB windet er gegenüber der «Rundschau» schon fast ein Kränzchen: «Die Bundesbahnen haben sehr schnell reagiert und das Loch hochprofessionell geschlossen.»