Cybersicherheit
Sicherheitslücke bei SBB: Eine Million Kundendaten des SwissPass waren öffentlich einsehbar

Eine Sicherheitslücke bei der zentralen ÖV-Plattform Nova blieb ohne Folgen. Dank einer Meldung konnten die SBB die Schwachstelle beheben. Nun läuft eine interne Untersuchung.

Reto Wattenhofer
Drucken
Die SBB haben die Sicherheitslücke unterdessen behoben. (Archivbild)

Die SBB haben die Sicherheitslücke unterdessen behoben. (Archivbild)

Keystone

Die zentrale Vertriebsplattform Nova des öffentlichen Verkehrs wird von der SBB im Auftrag der Branchenorganisation Alliance SwissPass betrieben. Ende 2020 erhöhten die SBB die Sicherheit für die Aboerneuerung über diese Plattform. Weil Kundinnen und Kunden mehrerer Bahnbetriebe ihr Abo nicht mehr einfach erneuern konnten, ermöglichten die SBB letzten Dezember auch den Zugang mit dem alten Mechanismus.

«Das war ein Fehler, denn dadurch entstand eine Schwachstelle», räumten SBB und Alliance SwissPass am Montag in einer Mitteilung ein. Denn ein externer IT-Spezialist nutzte die Schwachstelle aus. Ihm gelang es im Januar, innert weniger Tage automatisiert rund eine Million Datensätze abzufragen.

Die Daten enthielten Informationen über gekaufte Tickets und/oder die Gültigkeitsdauer von Abos. Die Hälfte der Datensätze war verknüpft mit Namen, Vorname und Geburtsdatum von Kundinnen und Kunden. SBB und Alliance SwissPass betonen in der Mitteilung, dass die Daten keinerlei Angaben zu Wohnort, Zahlungsmitteln, Passwörtern oder E-Mail-Adressen enthielten.

Hilfsbereiter Hacker

Glück hatten die beiden Unternehmen vor allem, weil der IT-Experte der SBB die Schwachstelle meldete und die heruntergeladenen Daten bei sich löschte. Dank dieser Meldung konnten die SBB die Sicherheitslücke umgehend schliessen. Den Kundinnen und Kunden sei kein Schaden entstanden, heisst es in der Mitteilung.

Die SBB informierten darauf den Eidgenössischen Datenschutzbeauftragten, Adrian Lobsiger, und die beteiligten ÖV-Betriebe. Um dem Fehler auf den Grund zu gehen, wurde eine interne Untersuchung eingeleitet. Die SBB unternehmen nach eigenen Angaben «sehr grosse Anstrengungen in Sachen IT-Sicherheit, gerade auch was Kundendaten betrifft.» Die IT-Systeme würden permanent Analysen unterzogen, um Angriffsmöglichkeiten zu unterbinden.

Aktuelle Nachrichten