Kommentar: SBB vermeiden zufällig (!) den grössten Datenskandal der Schweiz

25. Januar 2022, 13:32
image

Die SBB-Lücke wurde zum Glück nicht von böswilligen Angreifern entdeckt.

Am vergangenen Wochenende bin ich mit den SBB von Winterthur nach Gstaad gefahren – und wieder retour. Bis am 8. Januar war eine solche Information quasi öffentlich im Internet verfügbar. Zusammen mit meinem Namen und meinem Geburtsdatum. Wegen einer Sicherheitslücke in der Ticket-Verkaufsplattform "Nova" (Netzweite ÖV-Anbindung) konnten selbst Laien Datensätze mit sensiblen Informationen wie Name, Vorname, Geburtsdatum und getätigte Reisen von ÖV-Kundinnen und -Kunden abfragen und speichern.
Herausgefunden hat dies ein IT-Sicherheitsexperte, der unter anderem anonym mit der Nachrichtensendung '10vor10' gesprochen hat. Es war ihm möglich, eine Million Datensätze herunterzuladen. Weil dies laut SBB 0,2% des Datenvolumens entspricht, speichern die SBB demnach 500 Millionen Daten von Schweizer ÖV-Reisenden. Wenn diese in falsche Hände geraten, mündet die Geschichte im grössten Datendebakel der Schweiz.

500 Millionen Datensätze offen im Netz

Dass dies nicht passiert ist, ist reiner Zufall. Die Lücke wurde nicht von einem böswilligen Hacker entdeckt, der die Daten dem Meistbietenden verhökert hätte, sondern von einem Sicherheitsspezialisten. Dieser informierte die SBB proaktiv und löschte die "probehalber" heruntergeladenen Daten wieder. Die SBB konnten deshalb, auch dank einer vorbildlichen Reaktion, die Lücke schnell schliessen und nun transparent kommunizieren, was passiert ist. So schreibt das Unternehmen unter anderem, dass "den Kundinnen und Kunden kein Schaden entstanden" ist. Alle abgeflossenen Daten hätten der Abfrage des erwähnten Spezialisten zugeordnet werden können.
Trotz des Happy Ends bleibt mir bei dieser Geschichte nur das Kopfschütteln: Wie kann es sein, dass ein derart exponiertes Unternehmen wie die SBB so schlampig mit Kundendaten umgeht, eine halbe Milliarde Datensätze offen im Internet herumliegen lässt, und es quasi dem Zufall überlässt, ob diese nun den "Guten" oder den "Bösen" in die Hände fallen?
Womöglich ist es zu früh, um von systemischem Versagen zu sprechen. Bemerkenswert ist es allerdings schon, dass dies bereits das dritte Datenleck innert kürzester Zeit bei einem staatlich subventionierten Betrieb ist.

Weitere Fälle von "staatlichen" Datenlecks

Erst vor Wochenfrist wurde bekannt, dass das Organspenderegister Swisstransplant Sicherheitsmängel und Datenschutzprobleme aufweist. Es war möglich, jede Person, ohne ihr Wissen und ihre Zustimmung im Organspenderegister einzutragen. Man nehme die Angelegenheit sehr ernst, so Swisstransplant, und habe das Register vorübergehend offline genommen. Bis heute ist das Formular nicht wieder online.
Noch schlimmer der Fall Meineimfpungen.ch: Die Plattform musste im Mai vergangenen Jahres komplett dichtmachen, nachdem die verantwortliche Stiftung nur zwei Monate zuvor noch behauptet hatte, dass sämtliche identifizierten, kritischen Sicherheitslücken behoben worden seien. Später machten es die Plattformbetreiber noch schlimmer und begannen im November, Daten ehemaliger User als unverschlüsseltes ZIP-Archiv zurückzuschicken.
Wenngleich sich die Kommunikation der SBB wohltuend von insbesondere Meineimpfungen.ch abhebt: Die Beteuerungen, die Lücken geschlossen zu haben, sind bei allen betroffenen Plattformen dieselben. Es bleibt nicht mehr als das Prinzip Hoffnung, dass die Versprechen gehalten werden. Allein der Glaube daran, fehlt mir.

Loading

Mehr zum Thema

image

Zwischen Black-Hat- und White-Hat-Hacking gibt es kaum Unterschiede

Kevin Mitnick sass wegen Hacking 5 Jahre im Gefängnis und wechselte anschliessend die Seiten. Im Interview spricht er über seinen Wechsel zum Pentester und gibt Tipps.

publiziert am 5.7.2022
image

Mehrere Hacker wollen Lösegeld von Fachhochschule in Neuchâtel

Die Generaldirektorin der Haute Ecole Arc hält die Forderungen für wenig seriös. Die Ursache und das Ausmass des gestrigen Angriffs sind weiterhin unklar.

publiziert am 5.7.2022
image

Daten von über einer Milliarde Menschen im Darknet angeboten

Wahrscheinlich handelt es sich bei den Daten, die unter anderem Angaben zu Straftaten enthalten, um Informationen über chinesische Staatsbürger.

publiziert am 5.7.2022
image

Schon wieder Cyberangriff auf Hochschule in Neuenburg

Nach der Universität hat es diesmal die Fachhochschule Neuenburg getroffen. Alle Server wurden heruntergefahren.

publiziert am 4.7.2022