Kommentar: SBB vermeiden zufällig (!) den grössten Datenskandal der Schweiz

25. Januar 2022 um 13:32
image

Die SBB-Lücke wurde zum Glück nicht von böswilligen Angreifern entdeckt.

Am vergangenen Wochenende bin ich mit den SBB von Winterthur nach Gstaad gefahren – und wieder retour. Bis am 8. Januar war eine solche Information quasi öffentlich im Internet verfügbar. Zusammen mit meinem Namen und meinem Geburtsdatum. Wegen einer Sicherheitslücke in der Ticket-Verkaufsplattform "Nova" (Netzweite ÖV-Anbindung) konnten selbst Laien Datensätze mit sensiblen Informationen wie Name, Vorname, Geburtsdatum und getätigte Reisen von ÖV-Kundinnen und -Kunden abfragen und speichern.
Herausgefunden hat dies ein IT-Sicherheitsexperte, der unter anderem anonym mit der Nachrichtensendung '10vor10' gesprochen hat. Es war ihm möglich, eine Million Datensätze herunterzuladen. Weil dies laut SBB 0,2% des Datenvolumens entspricht, speichern die SBB demnach 500 Millionen Daten von Schweizer ÖV-Reisenden. Wenn diese in falsche Hände geraten, mündet die Geschichte im grössten Datendebakel der Schweiz.

500 Millionen Datensätze offen im Netz

Dass dies nicht passiert ist, ist reiner Zufall. Die Lücke wurde nicht von einem böswilligen Hacker entdeckt, der die Daten dem Meistbietenden verhökert hätte, sondern von einem Sicherheitsspezialisten. Dieser informierte die SBB proaktiv und löschte die "probehalber" heruntergeladenen Daten wieder. Die SBB konnten deshalb, auch dank einer vorbildlichen Reaktion, die Lücke schnell schliessen und nun transparent kommunizieren, was passiert ist. So schreibt das Unternehmen unter anderem, dass "den Kundinnen und Kunden kein Schaden entstanden" ist. Alle abgeflossenen Daten hätten der Abfrage des erwähnten Spezialisten zugeordnet werden können.
Trotz des Happy Ends bleibt mir bei dieser Geschichte nur das Kopfschütteln: Wie kann es sein, dass ein derart exponiertes Unternehmen wie die SBB so schlampig mit Kundendaten umgeht, eine halbe Milliarde Datensätze offen im Internet herumliegen lässt, und es quasi dem Zufall überlässt, ob diese nun den "Guten" oder den "Bösen" in die Hände fallen?
Womöglich ist es zu früh, um von systemischem Versagen zu sprechen. Bemerkenswert ist es allerdings schon, dass dies bereits das dritte Datenleck innert kürzester Zeit bei einem staatlich subventionierten Betrieb ist.

Weitere Fälle von "staatlichen" Datenlecks

Erst vor Wochenfrist wurde bekannt, dass das Organspenderegister Swisstransplant Sicherheitsmängel und Datenschutzprobleme aufweist. Es war möglich, jede Person, ohne ihr Wissen und ihre Zustimmung im Organspenderegister einzutragen. Man nehme die Angelegenheit sehr ernst, so Swisstransplant, und habe das Register vorübergehend offline genommen. Bis heute ist das Formular nicht wieder online.
Noch schlimmer der Fall Meineimfpungen.ch: Die Plattform musste im Mai vergangenen Jahres komplett dichtmachen, nachdem die verantwortliche Stiftung nur zwei Monate zuvor noch behauptet hatte, dass sämtliche identifizierten, kritischen Sicherheitslücken behoben worden seien. Später machten es die Plattformbetreiber noch schlimmer und begannen im November, Daten ehemaliger User als unverschlüsseltes ZIP-Archiv zurückzuschicken.
Wenngleich sich die Kommunikation der SBB wohltuend von insbesondere Meineimpfungen.ch abhebt: Die Beteuerungen, die Lücken geschlossen zu haben, sind bei allen betroffenen Plattformen dieselben. Es bleibt nicht mehr als das Prinzip Hoffnung, dass die Versprechen gehalten werden. Allein der Glaube daran, fehlt mir.

Loading

Mehr erfahren

Mehr zum Thema

image

Parlament ist für polizeilichen Daten­aus­tausch zwischen Kantonen

Eine Gesetzesrevision soll die Abfrage polizeilicher Daten unter den Kantonen sowie zwischen Bund und Kantonen regeln. Das Vorhaben wird von Datenschützern kritisiert.

publiziert am 12.6.2024
image

Wie sich Schwyz gegen Cyberangriffe wappnet

Ein grosser Teil des kantonalen Amts für Informatik beschäftigt sich gegenwärtig mit der Bedrohungslage rund um die Ukraine-Konferenz.

publiziert am 12.6.2024
image

EU-Staaten wollen mehr Überwachung

Viele EU-Länder wollen die End-to-End-Verschlüsselung stark schwächen. Messenger-Dienste sollen zur Überwachung verpflichtet werden.

publiziert am 11.6.2024
image

E-Banking-App der ZKB zeigte falsche Konten an

Aufgrund einer "kurzzeitigen technischen Störung" zeigte die App teilweise Konten von falschen Personen an. Die Störung ist mittlerweile behoben.

publiziert am 11.6.2024