Am vergangenen Wochenende bin ich mit den SBB von Winterthur nach Gstaad gefahren – und wieder retour. Bis am 8. Januar war eine solche Information quasi öffentlich im Internet verfügbar. Zusammen mit meinem Namen und meinem Geburtsdatum. Wegen einer
Sicherheitslücke in der Ticket-Verkaufsplattform "Nova" (Netzweite ÖV-Anbindung) konnten selbst Laien Datensätze mit sensiblen Informationen wie Name, Vorname, Geburtsdatum und getätigte Reisen von ÖV-Kundinnen und -Kunden abfragen und speichern.
Herausgefunden hat dies ein IT-Sicherheitsexperte, der unter anderem anonym mit der Nachrichtensendung '
10vor10' gesprochen hat. Es war ihm möglich, eine Million Datensätze herunterzuladen. Weil dies laut SBB 0,2% des Datenvolumens entspricht, speichern die SBB demnach 500 Millionen Daten von Schweizer ÖV-Reisenden. Wenn diese in falsche Hände geraten, mündet die Geschichte im grössten Datendebakel der Schweiz.
500 Millionen Datensätze offen im Netz
Dass dies nicht passiert ist, ist reiner Zufall. Die Lücke wurde nicht von einem böswilligen Hacker entdeckt, der die Daten dem Meistbietenden verhökert hätte, sondern von einem Sicherheitsspezialisten. Dieser informierte die SBB proaktiv und löschte die "probehalber" heruntergeladenen Daten wieder. Die SBB konnten deshalb, auch dank einer vorbildlichen Reaktion, die Lücke schnell schliessen und nun transparent kommunizieren, was passiert ist. So schreibt das Unternehmen unter anderem, dass "den Kundinnen und Kunden kein Schaden entstanden" ist. Alle abgeflossenen Daten hätten der Abfrage des erwähnten Spezialisten zugeordnet werden können.
Trotz des Happy Ends bleibt mir bei dieser Geschichte nur das Kopfschütteln: Wie kann es sein, dass ein derart exponiertes Unternehmen wie die SBB so schlampig mit Kundendaten umgeht, eine halbe Milliarde Datensätze offen im Internet herumliegen lässt, und es quasi dem Zufall überlässt, ob diese nun den "Guten" oder den "Bösen" in die Hände fallen?
Womöglich ist es zu früh, um von systemischem Versagen zu sprechen. Bemerkenswert ist es allerdings schon, dass dies bereits das dritte Datenleck innert kürzester Zeit bei einem staatlich subventionierten Betrieb ist.
Weitere Fälle von "staatlichen" Datenlecks
Erst vor Wochenfrist wurde bekannt, dass das Organspenderegister Swisstransplant Sicherheitsmängel und Datenschutzprobleme aufweist. Es war möglich, jede Person, ohne ihr Wissen und ihre Zustimmung
im Organspenderegister einzutragen. Man nehme die Angelegenheit sehr ernst, so Swisstransplant, und habe das Register vorübergehend offline genommen. Bis heute ist das Formular nicht wieder online.
Noch schlimmer der Fall Meineimfpungen.ch: Die Plattform musste im Mai vergangenen Jahres
komplett dichtmachen, nachdem die verantwortliche Stiftung nur zwei Monate zuvor noch behauptet hatte, dass sämtliche identifizierten, kritischen Sicherheitslücken behoben worden seien. Später machten es die Plattformbetreiber noch schlimmer und begannen im November, Daten ehemaliger User als
unverschlüsseltes ZIP-Archiv zurückzuschicken.
Wenngleich sich die Kommunikation der SBB wohltuend von insbesondere
Meineimpfungen.ch abhebt: Die Beteuerungen, die Lücken geschlossen zu haben, sind bei allen betroffenen Plattformen dieselben. Es bleibt nicht mehr als das Prinzip Hoffnung, dass die Versprechen gehalten werden. Allein der Glaube daran, fehlt mir.