Datenleck in Swisspass-Datenbank der Schweizer Bundesbahn

Bei der Schweizer Allianz für den öffentlichen Verkehr, Swisspass, gab es ein erhebliches Datenleck. Rund eine Million Datensätze konnten laut einem Bericht des Schweizer Radio und Fernsehen SRF heruntergeladen werden. Die Daten liegen auf der zentralen Vertriebsplattform "NOVA" (Netzweite ÖV-Anbindung) des Öffentlichen Verkehrs, die von den Schweizerischen Bundesbahnen SBB im Auftrag der Alliance SwissPass betrieben wird.

Wie die SBB jetzt mitteilte, wurde Ende 2020 die Sicherheit für die Fahrkartenabo-Erneuerung über diese Plattform verbessert. Weil Passagiere mehrerer ÖV-Unternehmen daraufhin ihr Abonnement „nicht mehr auf einfache Art und Weise erneuern konnten“, ermöglichte die SBB im Dezember 2021 auch den Zugang mit dem alten Mechanismus wieder. Dadurch aber habe sich „eine Schwachstelle“ geöffnet. Diese sei inzwischen geschlossen, melden die SBB und Alliance SwissPass.

Datenleck

Ein IT-Sicherheitsexperte stieß laut SRF Anfang Januar 2022 auf die Schwachstelle und konnte binnen weniger Tage automatisiert 0,2 Prozent aller Datensätze abfragen, was rund einer Million Datensätze entspricht. In den Daten fanden sich Informationen über gekaufte Fahrkarten und teils die Gültigkeitsdauer von Abos. Rund die Hälfte der Datensätze war mit Name, Vorname und Geburtsdatum von ÖV-Kundinnen und -Kunden verknüpft, so die SBB, enthielt jedoch keine Angaben zu Wohnort, Zahlungsmitteln, Passwörtern oder E-Mail-Adressen. Die andere Hälfte der Datensätze umfasste unpersönliche Angaben zu an Automaten gekauften Tickets, informierte die SBB in einer Mitteilung.

Der IT-Spezialist habe die Schwachstelle dem Bahnkonzern gemeldet, welcher die Lücke umgehend schloss. "Die unbefugte, automatisierte Abfrage von Daten ist nicht mehr möglich. Den Kundinnen und Kunden entstand kein Schaden", heißt es in der SBB-Mitteilung.

In der SRF-Sendung „Rundschau“ erklärt der IT-Sicherheitsexperte, dass das Ausnutzen der Lücke anscheinend völlig unproblematisch gewesen sei. „Man braucht nicht einmal besonderes Fachwissen. Das hätte jeder gekonnt“, sagte er in dem SRF-Interview. „Die sensiblen Daten lagen praktisch öffentlich im Netz.“

Theoretisch ließe sich mit den Datensätzen ein Bewegungsprofil der Kunden erstellen, so der White-Hat-Hacker gegenüber dem SRF. Er habe sofort alle personenbezogenen Daten anonymisiert und die Daten, die er heruntergeladen hatte, mittlerweile unwiderruflich gelöscht. „Ich bin kein Krimineller. Ich will für den Datenschutz sensibilisieren“, begründet er sein Eindringen in die Datenbank gegenüber dem SRF.

Erneut Schwachstellen in Datenbanken

In der kürzlich kompromittierten Datenbank werden Fahrkarten- und Abo-Informationen zu Abrechnungszwecken gespeichert. Der Webshop der SBB sowie die Verkaufsplattformen weiterer ÖV-Unternehmen sind mit der Datenbank verknüpft. Die SBB informierte den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten und die beteiligten ÖV-Unternehmen umgehend. Zudem wurde eine interne Untersuchung eingeleitet, um die Ursache des Fehlers zu eruieren. SBB und Alliance SwissPass bitten die ÖV-Kundinnen und -Kunden um Entschuldigung, heißt es in der Mitteilung. 

Erst vor wenigen Tagen sorgte das Organspende-Verzeichnis "Swisstransplant" mit Sicherheitslücken für Schlagzeilen. Auf der Plattform war es möglich, ohne Identitätsprüfung online beliebige Personen einzutragen.

(dmk)