Ein Sicherheitsexperte konnte im Januar 2022 eine Million Datensätze der SBB mit Informationen über ÖV-Kunden herunterladen. Er informierte die SBB über die Lücke, die insgesamt rund 500 Millionen Datensätze betraf. Das Unternehmen teilte damals mit, die Sicherheitslücke umgehend geschlossen zu haben. Auch eine interne Untersuchung sei eingeleitet worden, um die Ursache des Fehlers zu eruieren.

Laut einem Bericht des 'Blick' wussten die SBB aber schon viel länger über die Schwachstelle Bescheid. Schon im März 2018, also fast vier Jahre vor der Meldung des Sicherheitsexperten, hätten IT-Mitarbeitende intern darauf aufmerksam gemacht. Die Zeitung beruft sich dabei auf SBB-Dokumente. Passiert sei aber nichts. Im Januar 2020 habe ein externer Spezialist erneut vor dem "offenen Scheunentor" gewarnt. Doch wiederum hätten die Bundebahnen nicht reagiert.

Gegenüber dem 'Blick' bestätigte Reto Hügli, Sprecher der Allianz Swisspass: "Es ist korrekt, dass die SBB im 2018 erste Hinweise von IT-Spezialisten erhielten." Die SBB hätten im November 2020 einen neue Sicherheitsmechanismus auf der Plattform eingeführt. Damit sei die Schwachstelle geschlossen worden. Auf Nachfrage musste der Sprecher aber einräumen, dass die Sicherheitslücke auch Ende 2021 noch offen war.

Wenn mehrere Warnungen ignoriert wurden oder erst mit grosser Verzögerung darauf reagiert wurde, stellt das den Verantwortlichen kein gutes Zeugnis aus. Und wenn nach der vermeintlichen ersten Schliessung der Lücke im November 2020 die Schwachstelle weiterhin vorhanden war, ist dies ein grobfahrlässiges Vorgehen.

Weil die ÖV-Anbieter mit dem neuen Zugangslink Probleme gehabt hätten, die Abonnements ihrer Kunden auf einfache Weise zu erneuern, hätten die SBB den alten Zugang schon im Dezember 2021 wieder reaktiviert. "Der Schritt erfolgte mit der guten Absicht, ein relevantes Kundenproblem zu lösen. Dabei wurden die Risiken falsch eingeschätzt", sagte der Sprecher.

Nachdem die Geschichte im Januar publik wurde, kommentierte unser Chefredaktor Reto Vogt: "Wie kann es sein, dass ein derart exponiertes Unternehmen wie die SBB so schlampig mit Kundendaten umgeht, eine halbe Milliarde Datensätze offen im Internet herumliegen lässt, und es quasi dem Zufall überlässt, ob diese nun den 'Guten' oder den 'Bösen' in die Hände fallen?"

Swisspass-Sprecher Reto Hügli sagte jetzt dem 'Blick' zum Umgang mit der Lücke: "Mehrere Faktoren gaben den Ausschlag, am Anfang stand eine Fehleinschätzung. Die SBB haben nun entsprechende Massnahmen abgeleitet, damit das Sicherheitsbewusstsein und der Umgang mit Risiken weiter geschärft werden. Dank den optimierten Prozessen kann bei entdeckten Risiken schneller reagiert werden."

Hätten Hacker das Loch gefunden und die Daten abgegriffen, hätten sie unter anderem ÖV-Bewegungsprofile von Individuen erstellen können. Genau solche möchte die Alliance Swisspass jetzt mit einem neuen Projekt erheben: Mit einer App und Beacons in den Fahrzeugen sollen die Reisewege von Kundinnen und -Kunden metergenau aufgezeichnet werden. Wie viele GA-Besitzerinnen und -Besitzer dabei freiwillig mitmachen werden, wird sich ob dieses Umgangs der Bahn mit Sicherheitsproblemen und Datenschutz noch weisen müssen.