IT-Experte findet grosse Sicherheitslücke bei der SBB

24. Januar 2022, 13:48
  • security
  • schweiz
  • lücke
  • breach
  • sbb
image

Daten von Kunden des Swisspass-Verbunds lagen "praktisch öffentlich im Netz", sagt der anonyme Experte.

Ein externer IT-Sicherheitsexperte hat eine grosse Sicherheitslücke in der zentralen Vertriebsplattform "Nova" (Netzweite ÖV-Anbindung) gefunden, wie die SBB mitteilt. Der Experte habe Anfang Januar automatisiert rund eine Million Datensätze mit Informationen über ÖV-Kunden abfragen und herunterladen können. Er informierte daraufhin umgehend die SBB, die das Leck mittlerweile geschlossen hat. Laut SBB hat der Informant die heruntergeladenen Daten auf seinem System unwiderruflich gelöscht.
Nova wird von der SBB im Auftrag der Allianz Swisspass betrieben, der praktisch alle Betriebe des öffentlichen Verkehrs in der Schweiz angehören. Die heruntergeladenen Daten enthielten laut SBB Informationen über gekaufte Billetts oder die Gültigkeitsdauer von Abos. Rund die Hälfte der Datensätze sei mit dem Namen, Vornamen und dem Geburtsdatum von ÖV-Kundinnen und -Kunden verknüpft gewesen.
Hätten Hacker das Loch gefunden und die Daten abgegriffen, hätten sie also unter anderem ÖV-Bewegungsprofile von Individuen erstellen können. Wie die SBB betonen, enthielten die Datensätze aber keine Angaben zu Wohnorten, Zahlungsmitteln, Passwörtern oder E-Mail-Adressen.
Man habe umgehend den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten und die beteiligten ÖV-Unternehmen informiert, schreibt die SBB. Auch eine interne Untersuchung sei eingeleitet worden, um die Ursache des Fehlers zu eruieren.

Zuerst sicherer, dann erst recht unsicher

Obwohl das Loch nun anscheinend gestopft ist, ist die Sache natürlich peinlich für die SBB. Ende 2020 habe man die Sicherheit für die Abo-Erneuerung über die Nova-Plattform erhöht. Weil aber Kundinnen und Kunden mehrerer ÖV-Unternehmungen daraufhin ihr Abonnement nicht mehr auf einfache Art und Weise erneuern konnten, habe die SBB im Dezember 2021 auch den Zugang mit dem alten Mechanismus wieder zugelassen. Das habe sich als Fehler herausgestellt, denn dadurch sei die Schwachstelle entstanden.
In einem exklusiven Interview mit der "Rundschau" von 'SRF' erklärte der anonym bleiben wollende Experte, dass der Zugriff auf die Daten ganz einfach gewesen sei. "Man braucht nicht einmal besonderes Fachwissen. Das hätte jeder gekonnt. Die sensiblen Daten lagen praktisch öffentlich im Netz." Trotzdem lobte er die SBB auch: "Die Bundesbahnen haben sehr schnell reagiert und das Loch hochprofessionell geschlossen."

Loading

Mehr zum Thema

image

Wilken nach Cyberangriff wiederhergestellt

Der ERP-Anbieter kann sein volles Portfolio wieder liefern. Kunden­daten sollen bei dem Hack keine abhandengekommen sein.

publiziert am 8.12.2022
image

Glutz nach Cyberangriff wieder im eingeschränkten Betrieb

Die Solothurner Firma wurde zum Ziel eines Ransomware-Angriffes. Spezialisten sowie IT-Forensiker arbeiten noch immer daran, die Systeme gänzlich wiederherzustellen.

publiziert am 8.12.2022
image

Apple riegelt seine Cloud ab und wirft den Schlüssel weg

Der Konzern plant ein rigides Verschlüsselungssystem für den hauseigenen Cloudspeicher. Usern gefällt das, den US-Straf­verfolgungs­behörden hingegen nicht.

publiziert am 8.12.2022
image

Autonomer Päckli-Roboter kommt 2023 in die Schweiz

Der Loxo Alpha soll künftig Pakete auf Abruf liefern. Ein Testversuch in der Schweiz soll im Frühling 2023 starten. In welcher Region ist allerdings noch unklar.

publiziert am 7.12.2022