IT-Experte findet grosse Sicherheitslücke bei der SBB

24. Januar 2022 um 13:48
  • security
  • schweiz
  • lücke
  • breach
  • sbb
image

Daten von Kunden des Swisspass-Verbunds lagen "praktisch öffentlich im Netz", sagt der anonyme Experte.

Ein externer IT-Sicherheitsexperte hat eine grosse Sicherheitslücke in der zentralen Vertriebsplattform "Nova" (Netzweite ÖV-Anbindung) gefunden, wie die SBB mitteilt. Der Experte habe Anfang Januar automatisiert rund eine Million Datensätze mit Informationen über ÖV-Kunden abfragen und herunterladen können. Er informierte daraufhin umgehend die SBB, die das Leck mittlerweile geschlossen hat. Laut SBB hat der Informant die heruntergeladenen Daten auf seinem System unwiderruflich gelöscht.
Nova wird von der SBB im Auftrag der Allianz Swisspass betrieben, der praktisch alle Betriebe des öffentlichen Verkehrs in der Schweiz angehören. Die heruntergeladenen Daten enthielten laut SBB Informationen über gekaufte Billetts oder die Gültigkeitsdauer von Abos. Rund die Hälfte der Datensätze sei mit dem Namen, Vornamen und dem Geburtsdatum von ÖV-Kundinnen und -Kunden verknüpft gewesen.
Hätten Hacker das Loch gefunden und die Daten abgegriffen, hätten sie also unter anderem ÖV-Bewegungsprofile von Individuen erstellen können. Wie die SBB betonen, enthielten die Datensätze aber keine Angaben zu Wohnorten, Zahlungsmitteln, Passwörtern oder E-Mail-Adressen.
Man habe umgehend den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten und die beteiligten ÖV-Unternehmen informiert, schreibt die SBB. Auch eine interne Untersuchung sei eingeleitet worden, um die Ursache des Fehlers zu eruieren.

Zuerst sicherer, dann erst recht unsicher

Obwohl das Loch nun anscheinend gestopft ist, ist die Sache natürlich peinlich für die SBB. Ende 2020 habe man die Sicherheit für die Abo-Erneuerung über die Nova-Plattform erhöht. Weil aber Kundinnen und Kunden mehrerer ÖV-Unternehmungen daraufhin ihr Abonnement nicht mehr auf einfache Art und Weise erneuern konnten, habe die SBB im Dezember 2021 auch den Zugang mit dem alten Mechanismus wieder zugelassen. Das habe sich als Fehler herausgestellt, denn dadurch sei die Schwachstelle entstanden.
In einem exklusiven Interview mit der "Rundschau" von 'SRF' erklärte der anonym bleiben wollende Experte, dass der Zugriff auf die Daten ganz einfach gewesen sei. "Man braucht nicht einmal besonderes Fachwissen. Das hätte jeder gekonnt. Die sensiblen Daten lagen praktisch öffentlich im Netz." Trotzdem lobte er die SBB auch: "Die Bundesbahnen haben sehr schnell reagiert und das Loch hochprofessionell geschlossen."

Loading

Mehr erfahren

Mehr zum Thema

image

Windows-Sicherheitslücke stand lange offen

Hacker konnten die Lücke wohl einige Wochen oder sogar Monate ausnützen, bevor ein Patch veröffentlicht wurde.

publiziert am 14.6.2024
image

DDoS-Attacken wurden abgewehrt

Das Bundesamt für Cybersicherheit hat weitere Angriffe festgestellt.

publiziert am 14.6.2024
image

Podcast: Der beste Freund der Insider-Bedrohung ist die Leugnung ihrer Existenz

Bei Cyberbedrohungen denkt man oft nur an Angriffe von Aussen. Was aber ist mit Insidern, die ein System von Innen heraus angreifen? Darüber debattiert Doron Zimmermann, Experte für Cyberbedrohungen und Security Threat Intelligence, mit Chefredaktor Reto Vogt.

publiziert am 14.6.2024
image

Zuger Krypto-Firma Lykke von Cyberangriff getroffen

Das Unternehmen hat den Handel über seine Plattform ausgesetzt. Bei einem Cyberangriff sind Assets im Wert von mehr als 22 Millionen Dollar gestohlen worden.

publiziert am 13.6.2024