Sicherheitslücke SBB-Kundendaten liegen jahrelang ungeschützt im Netz

smi

17.8.2022

Usability vor Datensicherheit: Um der Kundschaft Billettkauf und Abo-Erneuerung zu erleichtern, vernachlässigten die SBB die Datensicherheit.
Usability vor Datensicherheit: Um der Kundschaft Billettkauf und Abo-Erneuerung zu erleichtern, vernachlässigten die SBB die Datensicherheit.
Keystone

Im Januar 2022 macht ein Hacker die SBB auf eine riesige Sicherheitslücke aufmerksam, nachdem er eine Million Datensätze illegal heruntergeladen hat. Jetzt zeigt sich: Die SBB wusste seit Jahren vom Datenleck.

smi

17.8.2022

Mit einem simplen Trick hat ein Hacker im Januar 2022 rund eine Million Datensätze von SBB-Kund*innen heruntergeladen, die Hälfte davon persönliche mit Namen und Geburtstag.

Glück im Unglück: Der Angreifer war ein IT-Experte, der in das System eingebrochen war, um die SBB auf die Sicherheitslücke aufmerksam zu machen.

Doch jetzt zeigt sich, dass den Verantwortlichen die mangelhafte Absicherung der Kundendaten seit Jahren bekannt war, wie der «Blick» mit Verweis auf interne Dokumente berichtet. Schon 2018 haben IT-Spezialisten gemäss der Recherche die SBB darauf aufmerksam gemacht, dass Kundendaten frei zugänglich seien. Unternommen hätten die Bundesbahnen nichts.

Die Schwachstelle ist die Plattform Nova, welche ÖV-Kund*innen im Hintergrund ermöglicht, Billette und Abos verschiedener Verkehrsverbünde mit dem SwissPass zu verbinden.  Die SBB betreiben diese Plattform im Auftrag der Alliance SwissPass. Die Sicherheitslücke sei geschlossen, haben die Verantwortlichen noch im Januar 2022 gemeldet. 

Entstanden sei das Leck, weil kurz vor dem Datenklau die Sicherheit von Nova erhöht worden sei, worauf es für verschiedene Kund*innen nicht mehr so einfach möglich gewesen sei, ihr Abo zu erneuern. Deshalb hätten die Zuständigen darauf die Sicherheitsmassnahmen gelockert.

Die Sicherheitslücke war seit 2018 bekannt

Im Prinzip lässt sich daraus bereits herauslesen, dass die Sicherheit bis Ende November mangelhaft war.

Die SBB lassen einen Vertreter der Alliance SwissPass die Fragen des «Blick» beantworten. Dieser räumt ein, dass die Sicherheitslücke schon 2018 bekannt gewesen sei. Dann habe der Sprecher angegeben, dieses Einfallstor sei 2020 geschlossen worden. Auf Nachfrage der Zeitung habe er zugegeben, dass das Datenleck auch im November 2021 noch offen gewesen sei.

Darauf hin sei das Loch definitiv abgedichtet worden, indem der alte Link gekappt worden sei. Damit nahm der bereits bekannte Teil der Geschichte seinen Lauf: Um der Kundschaft das Verlängern der Abos zu erleichtern, wurde die alte, unsichere Konfiguration wieder aktiviert, worauf der Hacker – eine Person aus dem Umfeld der Digitalen Gesellschaft – in das System eindrang und Hunderttausende persönliche Datensätze kopierte.

Was sich mit solchen Informationen anstellen lässt, erklärte Marc Rennhard, Professor für Informatik mit Fachgebiet Informationssicherheit an der ZHAW, blue News nach dem Bekanntwerden des Lecks im Januar. So könnten Daten einer Reise für eine Phishing-Attacke genutzt werden: «Weil man diese Strecke tatsächlich gefahren ist, wird man dem E-Mail viel eher Glauben schenken, dem Link der Betrüger folgen und seine Zugangsdaten eintippen», liefert der Experte ein Beispiel.

Die SBB erklären auf Anfrage von blue News, sie hätten im Januar 2022 das Sicherheitsleck geschlossen, die Daten seien bei Nova sicher aufgehoben. «Gemäss aktuellen Erkenntnissen ist niemandem ein Schaden entstanden» fährt SBB-Sprecher Daniele Pallecchi fort. Die Vorwürfe des «Blick» betreffen den Umgang mit der Datensicherheit in den Jahren vor dem Skandal im Januar.