Update: SBB schliessen Datenleck nach mehr als drei Jahren
Im Januar hat ein IT-Experte über eine Schwachstelle in einer SBB-Plattform Daten von rund 500'000 Swisspass-Kundinnen und -Kunden abgegriffen, darunter Name, Geburtsdatum und Ticketinformationen. Nun wird bekannt, dass die Bahn seit 2018 von der Sicherheitslücke wusste.
Update vom 19.8.2022: Die Schweizerischen Bundesbahnen (SBB) haben mehr als drei Jahre gebraucht, um eine Schwachstelle zu schliessen. Dies berichtet der "Blick", der sich auf eigene Recherchen und auf SBB-interne Dokumente beruft. Demnach sollen IT-Spezialisten die SBB schon im März 2018 auf die Sicherheitslücke aufmerksam gemacht haben – dreieinhalb Jahre bevor die Bahn das Datenleck endgültig stopfte. Eine weitere Meldung, diesmal durch einen externen Spezialisten, erfolgte im Januar 2020, doch der Konzern sei erneut untätig geblieben. Erst nach den in den Medien publizierten Recherchen eines ethischen Hackers schloss die Bahn die Sicherheitslücke endgültig.
"Mehrere Faktoren gaben den Ausschlag, am Anfang stand eine Fehleinschätzung", erklärt Swisspass-Sprecher Reto Hügli im Artikel das Debakel. "Die SBB haben nun entsprechende Massnahmen abgeleitet, damit das Sicherheitsbewusstsein und der Umgang mit Risiken weiter geschärft wird. Dank den optimierten Prozesse kann bei entdeckten Risiken schneller reagiert werden."
Originalmeldung vom 24.1.22: Sicherheitslücke im SBB-System ermöglicht massiven Zugriff auf sensible Kundendaten
Eine Sicherheitslücke in einem von den Schweizerischen Bundesbahnen (SBB) betriebenen Buchungssystem hat für ein enormes Datenleck gesorgt. Wie die "SRF Rundschau" berichtet, gelang es einem nicht namentlich vorgestellten IT-Experten, eine riesige Menge an Kundendaten herunterzuladen: Eine Million Datensätze habe er abgreifen können, von rund 500'000 Swisspass-Kundinnen und -Kunden. Fachwissen sei dazu nicht nötig gewesen. "Das hätte jeder gekonnt", zitiert ihn das SRF.
Im Datensatz fanden sich Namen der Reisenden, das Geburtsdatum, die Anzahl gekaufter Tickets erster oder zweiter Klasse sowie der Abfahrts- und Zielort, heisst es bei SRF. Theoretisch liesse sich damit ein Bewegungsprofil der Kunden erstellen.
Sicherheitslücke geschlossen
In einer Stellungnahme erklären die SBB den Hintergrund des Problems: Demnach betreibt sie für die Alliance SwissPass die Vertriebsplattform "NOVA" (Netzweite ÖV-Anbindung). In der Datenbank werden Billett- und Aboinformationen zu Abrechnungszwecken gespeichert. "Ende 2020 erhöhte sie Sicherheit für die Aboerneuerung über diese Plattform. Weil Kundinnen und Kunden mehrerer ÖV-Unternehmungen daraufhin ihr Abonnement nicht mehr auf einfache Art und Weise erneuern konnten, ermöglichte die SBB im Dezember 2021 auch den Zugang mit dem alten Mechanismus wieder. Das war ein Fehler, denn dadurch entstand eine Schwachstelle."
Bei den vom IT-Experten heruntergeladenen Daten handle es sich um 0,2 Prozent aller auf der Plattform gespeicherten Datensätze, ergänzt das Bahnunternehmen. Die abgegriffenen Datensätze enthielten keinerlei Angaben zu Wohnort, Zahlungsmitteln, Passwörtern oder E-Mail-Adressen.
Dank der Meldung des IT-Spezialisten habe der Konzern die Schwachstelle umgehend schliessen können. "Die unbefugte, automatisierte Abfrage von Daten ist nicht mehr möglich. Den Kundinnen und Kunden entstand kein Schaden", heisst es in der Mitteilung.
Man habe umgehend den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) informiert, wie auch die beteiligten ÖV-Unternehmen. Zudem sei eine interne Untersuchung eingeleitet worden, um die Ursache des Fehlers zu eruieren.
Erst vor wenigen Tagen sorgte das Organspende-Register "Swisstransplant" mit Sicherheitslücken für Schlagzeilen. Die Plattform soll die Identität der registrierten Nutzerinnen und Nutzer nur ungenügend überprüfen. Mehr dazu lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.