Kommentar: SBB vermeiden zufällig (!) den grössten Datenskandal der Schweiz

25. Januar 2022 um 13:32
image

Die SBB-Lücke wurde zum Glück nicht von böswilligen Angreifern entdeckt.

Am vergangenen Wochenende bin ich mit den SBB von Winterthur nach Gstaad gefahren – und wieder retour. Bis am 8. Januar war eine solche Information quasi öffentlich im Internet verfügbar. Zusammen mit meinem Namen und meinem Geburtsdatum. Wegen einer Sicherheitslücke in der Ticket-Verkaufsplattform "Nova" (Netzweite ÖV-Anbindung) konnten selbst Laien Datensätze mit sensiblen Informationen wie Name, Vorname, Geburtsdatum und getätigte Reisen von ÖV-Kundinnen und -Kunden abfragen und speichern.
Herausgefunden hat dies ein IT-Sicherheitsexperte, der unter anderem anonym mit der Nachrichtensendung '10vor10' gesprochen hat. Es war ihm möglich, eine Million Datensätze herunterzuladen. Weil dies laut SBB 0,2% des Datenvolumens entspricht, speichern die SBB demnach 500 Millionen Daten von Schweizer ÖV-Reisenden. Wenn diese in falsche Hände geraten, mündet die Geschichte im grössten Datendebakel der Schweiz.

500 Millionen Datensätze offen im Netz

Dass dies nicht passiert ist, ist reiner Zufall. Die Lücke wurde nicht von einem böswilligen Hacker entdeckt, der die Daten dem Meistbietenden verhökert hätte, sondern von einem Sicherheitsspezialisten. Dieser informierte die SBB proaktiv und löschte die "probehalber" heruntergeladenen Daten wieder. Die SBB konnten deshalb, auch dank einer vorbildlichen Reaktion, die Lücke schnell schliessen und nun transparent kommunizieren, was passiert ist. So schreibt das Unternehmen unter anderem, dass "den Kundinnen und Kunden kein Schaden entstanden" ist. Alle abgeflossenen Daten hätten der Abfrage des erwähnten Spezialisten zugeordnet werden können.
Trotz des Happy Ends bleibt mir bei dieser Geschichte nur das Kopfschütteln: Wie kann es sein, dass ein derart exponiertes Unternehmen wie die SBB so schlampig mit Kundendaten umgeht, eine halbe Milliarde Datensätze offen im Internet herumliegen lässt, und es quasi dem Zufall überlässt, ob diese nun den "Guten" oder den "Bösen" in die Hände fallen?
Womöglich ist es zu früh, um von systemischem Versagen zu sprechen. Bemerkenswert ist es allerdings schon, dass dies bereits das dritte Datenleck innert kürzester Zeit bei einem staatlich subventionierten Betrieb ist.

Weitere Fälle von "staatlichen" Datenlecks

Erst vor Wochenfrist wurde bekannt, dass das Organspenderegister Swisstransplant Sicherheitsmängel und Datenschutzprobleme aufweist. Es war möglich, jede Person, ohne ihr Wissen und ihre Zustimmung im Organspenderegister einzutragen. Man nehme die Angelegenheit sehr ernst, so Swisstransplant, und habe das Register vorübergehend offline genommen. Bis heute ist das Formular nicht wieder online.
Noch schlimmer der Fall Meineimfpungen.ch: Die Plattform musste im Mai vergangenen Jahres komplett dichtmachen, nachdem die verantwortliche Stiftung nur zwei Monate zuvor noch behauptet hatte, dass sämtliche identifizierten, kritischen Sicherheitslücken behoben worden seien. Später machten es die Plattformbetreiber noch schlimmer und begannen im November, Daten ehemaliger User als unverschlüsseltes ZIP-Archiv zurückzuschicken.
Wenngleich sich die Kommunikation der SBB wohltuend von insbesondere Meineimpfungen.ch abhebt: Die Beteuerungen, die Lücken geschlossen zu haben, sind bei allen betroffenen Plattformen dieselben. Es bleibt nicht mehr als das Prinzip Hoffnung, dass die Versprechen gehalten werden. Allein der Glaube daran, fehlt mir.

Loading

Mehr zum Thema

image

Banken­soft­ware­dienst­leister ITSS Global gehackt

Eine Ransomware-Bande behauptet, Daten des Genfer Fintechs erbeutet zu haben. Das Unternehmen bestätigt einen Angriff auf ein nicht privilegiertes Benutzerkonto.

publiziert am 6.2.2025
image

Angriff auf Swissmem-Ausgleichskasse: Spuren führen nach Russland

Die Ausgleichskasse kann noch nicht sagen, welche Art von Daten abgeflossen ist. Man werde aber auf keine Forderungen der Täter eingehen

publiziert am 6.2.2025
image

Women in Cyber und SANS Institute wollen "Women in Cyber Talent Academy" gründen

Damit das Trainingsinstitut für Security-Quereinsteigerinnen im Herbst loslegen kann, müssen aber noch finanzielle Partner einsteigen.

publiziert am 5.2.2025
image

Report: Deepseek ist anfällig für Manipulationen

Eine Untersuchung von Cisco zeigt, dass beim Modell "Deepseek R1" die Leitplanken einfach umgangen werden können. Das ist aber auch bei anderen der Fall.

publiziert am 5.2.2025