Die SBB wussten viel länger über ernste Sicherheitslücke Bescheid, als sie zugaben

18. August 2022, 09:31
  • security
  • lücke
  • datenschutz
  • transport
  • sbb
image
Foto: © SBB CFF FFS

Im Januar 2022 hatten die SBB eine Lücke geschlossen, die Millionen Kundendaten betraf. Offenbar war schon seit 2018 mehrfach auf das Problem hingewiesen worden.

Ein Sicherheitsexperte konnte im Januar 2022 eine Million Datensätze der SBB mit Informationen über ÖV-Kunden herunterladen. Er informierte die SBB über die Lücke, die insgesamt rund 500 Millionen Datensätze betraf. Das Unternehmen teilte damals mit, die Sicherheitslücke umgehend geschlossen zu haben. Auch eine interne Untersuchung sei eingeleitet worden, um die Ursache des Fehlers zu eruieren.
Laut einem Bericht des 'Blick' wussten die SBB aber schon viel länger über die Schwachstelle Bescheid. Schon im März 2018, also fast vier Jahre vor der Meldung des Sicherheitsexperten, hätten IT-Mitarbeitende intern darauf aufmerksam gemacht. Die Zeitung beruft sich dabei auf SBB-Dokumente. Passiert sei aber nichts. Im Januar 2020 habe ein externer Spezialist erneut vor dem "offenen Scheunentor" gewarnt. Doch wiederum hätten die Bundebahnen nicht reagiert.
Gegenüber dem 'Blick' bestätigte Reto Hügli, Sprecher der Allianz Swisspass: "Es ist korrekt, dass die SBB im 2018 erste Hinweise von IT-Spezialisten erhielten." Die SBB hätten im November 2020 einen neue Sicherheitsmechanismus auf der Plattform eingeführt. Damit sei die Schwachstelle geschlossen worden. Auf Nachfrage musste der Sprecher aber einräumen, dass die Sicherheitslücke auch Ende 2021 noch offen war.

Kein gutes Zeugnis und fahrlässiges Vorgehen

Wenn mehrere Warnungen ignoriert wurden oder erst mit grosser Verzögerung darauf reagiert wurde, stellt das den Verantwortlichen kein gutes Zeugnis aus. Und wenn nach der vermeintlichen ersten Schliessung der Lücke im November 2020 die Schwachstelle weiterhin vorhanden war, ist dies ein grobfahrlässiges Vorgehen.
Weil die ÖV-Anbieter mit dem neuen Zugangslink Probleme gehabt hätten, die Abonnements ihrer Kunden auf einfache Weise zu erneuern, hätten die SBB den alten Zugang schon im Dezember 2021 wieder reaktiviert. "Der Schritt erfolgte mit der guten Absicht, ein relevantes Kundenproblem zu lösen. Dabei wurden die Risiken falsch eingeschätzt", sagte der Sprecher.
Nachdem die Geschichte im Januar publik wurde, kommentierte unser Chefredaktor Reto Vogt: "Wie kann es sein, dass ein derart exponiertes Unternehmen wie die SBB so schlampig mit Kundendaten umgeht, eine halbe Milliarde Datensätze offen im Internet herumliegen lässt, und es quasi dem Zufall überlässt, ob diese nun den 'Guten' oder den 'Bösen' in die Hände fallen?"

"Am Anfang stand eine Fehleinschätzung"

Swisspass-Sprecher Reto Hügli sagte jetzt dem 'Blick' zum Umgang mit der Lücke: "Mehrere Faktoren gaben den Ausschlag, am Anfang stand eine Fehleinschätzung. Die SBB haben nun entsprechende Massnahmen abgeleitet, damit das Sicherheitsbewusstsein und der Umgang mit Risiken weiter geschärft werden. Dank den optimierten Prozessen kann bei entdeckten Risiken schneller reagiert werden."
Hätten Hacker das Loch gefunden und die Daten abgegriffen, hätten sie unter anderem ÖV-Bewegungsprofile von Individuen erstellen können. Genau solche möchte die Alliance Swisspass jetzt mit einem neuen Projekt erheben: Mit einer App und Beacons in den Fahrzeugen sollen die Reisewege von Kundinnen und -Kunden metergenau aufgezeichnet werden. Wie viele GA-Besitzerinnen und -Besitzer dabei freiwillig mitmachen werden, wird sich ob dieses Umgangs der Bahn mit Sicherheitsproblemen und Datenschutz noch weisen müssen.

Loading

Mehr zum Thema

image

USA lockert Sanktionen für IT-Firmen im Iran

Weil die iranische Regierung den Zugang zum Internet eingeschränkt hat, versuchen sowohl Behörden als auch Private den Informationsfluss aufrecht zu halten.

publiziert am 26.9.2022
image

Zurich Film Festival – Ticketverkauf dank flexibler Standortvernetzung.

Heute ist das Zurich Film Festival (ZFF) das grösste Herbstfilm-Festival im deutschsprachigen Raum und ein Sprungbrett zu den Oscars. 2005 fand es zum ersten Mal statt.

image

Wegen Daten-Spionage: Sammelklage gegen Meta

In einer Klageschrift gegen Meta heisst es, Apps von Instagram und Facebook würden Daten mittels eines JavaScript-Code auf Websites einspeisen.

publiziert am 23.9.2022
image

TAP Portugal bestätigt den Klau von Passagierdaten

Nach dem Cyberangriff sind 600 Gigabyte an Daten der Airline veröffentlicht worden – auch von Schweizer Passagieren. Kunden werden vor möglichen Phishing-Angriffen gewarnt.

publiziert am 23.9.2022