Kundendaten der Schweizerischen Bundesbahn standen offen im Netz

SBB
Weil Kundinnen und Kunden ihr Abonnement nicht mehr “auf einfache Art und Weise” erneuern konnten, schraubte der Betreiber das Sicherheitsniveau herunter. (Quelle: IMAGO / Geisser)

Bei Swisspass, der Schweizer Allianz für den öffentlichen Verkehr, gab es eine massive Sicherheitslücke. Kundendaten standen teils inklusive Namen und Reiserouten offen im Netz – und konnten ohne großen Aufwand ausgelesen werden.

Laut einer Mitteilung der Schweizerischen Bundesbahnen SBB war die zentrale Vertriebsplattform NOVA (Netzweite ÖV-Anbindung) von der Schwachstelle betroffen. Die SBB betreibt die Plattform im Auftrag von Swisspass.

In der Datenbank sind zu Abrechnungszwecken Informationen zu verkauften Fahrkarten und gebuchten Abonnements gespeichert; die Verkaufsplattformen der öffentlichen Verkehrsunternehmen sind mit ihr verknüpft.

Das schweizerische Fernsehmagazin Rundschau sprach von einer halben Million betroffenen Fahrgästen. Laut SBB ist bei den Kundinnen und Kunden aber kein Schaden entstanden.

Bewegungsprofile möglich

Ein externer IT-Spezialist wurde auf die Schwachstelle aufmerksam und las Anfang Januar innerhalb “weniger Tage” rund eine Million Datensätze aus. Das entspreche 0,2 Prozent aller gespeicherten Datensätze.

Sie enthielten Informationen über gekaufte Fahrkarten und die Laufzeiten von Abonnements. Bei der Hälfte der Datensätze waren diese mit vollständigen Namen und Geburtsdaten verknüpft. Auch seien teils Abfahrts- und Zielort angegeben gewesen; aus diesen Daten hätten Angreifer Bewegungsprofile einzelner Personen erstellen können. Adressen, Zahlungsdaten oder Passwörter seien nicht enthalten gewesen.

“Das hätte jeder gekonnt”

Laut Mitteilung hatte die SBB Ende 2020 die Sicherheitsvorkehrungen der Plattform ausgebaut. Doch weil Kunden sich anschließend beschwert hätten, dass sie ihre Abonnements nicht mehr “auf einfache Art und Weise” erneuern konnten, ermöglichte die SBB im Dezember 2021 auch wieder den Zugang per altem Mechanismus. Dadurch sei die Sicherheitslücke entstanden. “Das war ein Fehler”, gibt die SBB zu.

In der Sendung Rundschau berichtete der Experte: “Man braucht nicht einmal besonderes Fachwissen. Das hätte jeder gekonnt.” Die Daten hätten praktisch öffentlich im Netz gelegen.

Der IT-Spezialist meldete dem Betreiber seine Entdeckung und löschte die erbeuteten Daten. “Ich bin kein Krimineller. Ich will für den Datenschutz sensibilisieren”, begründete er sein Vorgehen. Die Bundesbahn habe die Schwachstelle “umgehend” geschlossen und eine Datenabfrage sei aktuell nicht mehr möglich. Öffentlich eingeräumt hat die SBB den Vorfall aber erst am heutigen Dienstag.

Die SBB hat den Datenschutzbeauftragten und die beteiligten Unternehmen informiert. Der Fall werde aktuell auch intern noch untersucht. (hcz)