Ein externer IT-Sicherheitsexperte hat eine grosse Sicherheitslücke in der zentralen Vertriebsplattform "Nova" (Netzweite ÖV-Anbindung) gefunden, wie die SBB mitteilt. Der Experte habe Anfang Januar automatisiert rund eine Million Datensätze mit Informationen über ÖV-Kunden abfragen und herunterladen können. Er informierte daraufhin umgehend die SBB, die das Leck mittlerweile geschlossen hat. Laut SBB hat der Informant die heruntergeladenen Daten auf seinem System unwiderruflich gelöscht.

Nova wird von der SBB im Auftrag der Allianz Swisspass betrieben, der praktisch alle Betriebe des öffentlichen Verkehrs in der Schweiz angehören. Die heruntergeladenen Daten enthielten laut SBB Informationen über gekaufte Billetts oder die Gültigkeitsdauer von Abos. Rund die Hälfte der Datensätze sei mit dem Namen, Vornamen und dem Geburtsdatum von ÖV-Kundinnen und -Kunden verknüpft gewesen.

Hätten Hacker das Loch gefunden und die Daten abgegriffen, hätten sie also unter anderem ÖV-Bewegungsprofile von Individuen erstellen können. Wie die SBB betonen, enthielten die Datensätze aber keine Angaben zu Wohnorten, Zahlungsmitteln, Passwörtern oder E-Mail-Adressen.

Man habe umgehend den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten und die beteiligten ÖV-Unternehmen informiert, schreibt die SBB. Auch eine interne Untersuchung sei eingeleitet worden, um die Ursache des Fehlers zu eruieren.

Obwohl das Loch nun anscheinend gestopft ist, ist die Sache natürlich peinlich für die SBB. Ende 2020 habe man die Sicherheit für die Abo-Erneuerung über die Nova-Plattform erhöht. Weil aber Kundinnen und Kunden mehrerer ÖV-Unternehmungen daraufhin ihr Abonnement nicht mehr auf einfache Art und Weise erneuern konnten, habe die SBB im Dezember 2021 auch den Zugang mit dem alten Mechanismus wieder zugelassen. Das habe sich als Fehler herausgestellt, denn dadurch sei die Schwachstelle entstanden.

In einem exklusiven Interview mit der "Rundschau" von 'SRF' erklärte der anonym bleiben wollende Experte, dass der Zugriff auf die Daten ganz einfach gewesen sei. "Man braucht nicht einmal besonderes Fachwissen. Das hätte jeder gekonnt. Die sensiblen Daten lagen praktisch öffentlich im Netz." Trotzdem lobte er die SBB auch: "Die Bundesbahnen haben sehr schnell reagiert und das Loch hochprofessionell geschlossen."