IT-Experte findet grosse Sicherheitslücke bei der SBB

24. Januar 2022, 13:48
  • security
  • schweiz
  • lücke
  • breach
  • sbb
image

Daten von Kunden des Swisspass-Verbunds lagen "praktisch öffentlich im Netz", sagt der anonyme Experte.

Ein externer IT-Sicherheitsexperte hat eine grosse Sicherheitslücke in der zentralen Vertriebsplattform "Nova" (Netzweite ÖV-Anbindung) gefunden, wie die SBB mitteilt. Der Experte habe Anfang Januar automatisiert rund eine Million Datensätze mit Informationen über ÖV-Kunden abfragen und herunterladen können. Er informierte daraufhin umgehend die SBB, die das Leck mittlerweile geschlossen hat. Laut SBB hat der Informant die heruntergeladenen Daten auf seinem System unwiderruflich gelöscht.
Nova wird von der SBB im Auftrag der Allianz Swisspass betrieben, der praktisch alle Betriebe des öffentlichen Verkehrs in der Schweiz angehören. Die heruntergeladenen Daten enthielten laut SBB Informationen über gekaufte Billetts oder die Gültigkeitsdauer von Abos. Rund die Hälfte der Datensätze sei mit dem Namen, Vornamen und dem Geburtsdatum von ÖV-Kundinnen und -Kunden verknüpft gewesen.
Hätten Hacker das Loch gefunden und die Daten abgegriffen, hätten sie also unter anderem ÖV-Bewegungsprofile von Individuen erstellen können. Wie die SBB betonen, enthielten die Datensätze aber keine Angaben zu Wohnorten, Zahlungsmitteln, Passwörtern oder E-Mail-Adressen.
Man habe umgehend den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten und die beteiligten ÖV-Unternehmen informiert, schreibt die SBB. Auch eine interne Untersuchung sei eingeleitet worden, um die Ursache des Fehlers zu eruieren.

Zuerst sicherer, dann erst recht unsicher

Obwohl das Loch nun anscheinend gestopft ist, ist die Sache natürlich peinlich für die SBB. Ende 2020 habe man die Sicherheit für die Abo-Erneuerung über die Nova-Plattform erhöht. Weil aber Kundinnen und Kunden mehrerer ÖV-Unternehmungen daraufhin ihr Abonnement nicht mehr auf einfache Art und Weise erneuern konnten, habe die SBB im Dezember 2021 auch den Zugang mit dem alten Mechanismus wieder zugelassen. Das habe sich als Fehler herausgestellt, denn dadurch sei die Schwachstelle entstanden.
In einem exklusiven Interview mit der "Rundschau" von 'SRF' erklärte der anonym bleiben wollende Experte, dass der Zugriff auf die Daten ganz einfach gewesen sei. "Man braucht nicht einmal besonderes Fachwissen. Das hätte jeder gekonnt. Die sensiblen Daten lagen praktisch öffentlich im Netz." Trotzdem lobte er die SBB auch: "Die Bundesbahnen haben sehr schnell reagiert und das Loch hochprofessionell geschlossen."

Loading

Mehr zum Thema

image

Slack gibt Passwort-Fehltritt zu

Fünf Jahre lang hätten böswillige Angreifer unter Umständen Passwörter abgreifen können.

publiziert am 9.8.2022
image

In Zürich werden auch die Stühle smart

Im Rahmen von Smart City Zürich testet die Stadt neue Sensoren. Diese sollen an öffentlichen Stühlen Sitzdauer, Lärmpegel und mehr messen.

publiziert am 8.8.2022
image

Google wird bald Nachbar von AWS am Zürcher Seeufer

Google baut seine Büro­räumlichkeiten in Zürich weiter aus und zieht demnächst im ehemaligen Schweizer IBM-Hauptsitz ein. In der Nähe hat sich bereits AWS eingerichtet.

publiziert am 8.8.2022
image

IT-Security: Personalmangel ist das Problem, nicht das Geld

Laut einer internationalen Umfrage sehen Security-Verantwortliche nur bei jedem 10. Unternehmen Probleme wegen des Security-Budgets.

publiziert am 8.8.2022