Experte zum SBB-Leck

«Wer Personendaten kennt, kann diese auch missbrauchen»

Von Gil Bieler

24.1.2022

Die SBB Mobile App am 15. November 2016.
Offene Scheunentore: die SBB Mobile App.
Bild: Keystone

Schon wieder ein Datenleck: Persönliche Daten und Billettkäufe von Tausenden SBB-Passagieren waren offen einsehbar. Wozu sich solche Daten nutzen lassen und ob sich die Fälle häufen, erklärt ein IT-Experte.  

Von Gil Bieler

24.1.2022

Herr Rennhard, wenn Unbefugte einsehen können, welche Zugfahrten ich unternommen habe – muss mich das beunruhigen?

Auf den ersten Blick scheinen die betroffenen Daten wie Vorname, Name, Geburtsdatum und Bewegungsdaten nicht sehr heikel. Dennoch ergeben sich für Angreifer interessante Angriffsszenarien. Und da wohl ein grosser Teil der Bewohner der Schweiz einen Account bei der SBB hat, können potenziell auch sehr viele durch Folgeattacken betroffen sein. Generell gilt: Wenn man Personendaten kennt, kann man diese auch missbrauchen.

Was wäre denn ein denkbares Szenario?

Zur Person

Marc Rennhard ist Professor für Informatik mit Fachgebiet Informationssicherheit an der ZHAW.

Mit den Bewegungsdaten einer Person kann ich sehr gezielte Phishing-Attacken ausführen. Ich schreibe dann zum Beispiel eine E-Mail: «Sehr geehrter Herr Müller, bei der Abrechnung Ihrer Zugreise am Tag X von A nach B gab es ein Problem, bitte überprüfen Sie die Rechnung unter diesem Link.» Weil man diese Strecke tatsächlich gefahren ist, wird man dem Mail viel eher Glauben schenken, dem Link der Betrüger folgen und seine Zugangsdaten eintippen. Das macht diese Daten wertvoll, auch wenn es auf den ersten Blick vielleicht nicht so dramatisch erscheint, wenn jemand über meine Zugreisen informiert ist.

Können Sie noch ein weiteres Beispiel machen?

Kriminelle sehen vielleicht auch, dass jemand am späten Montagabend immer unterwegs ist – also könnte es ja sein, dass dann niemand zu Hause ist. So lassen sich Rückschlüsse ziehen.

Sie haben jetzt über die Bewegungsdaten gesprochen. Was liesse sich mit Name, Vorname und Geburtsdatum anfangen?

Da man sich heute vermehrt online ausweisen oder identifizieren muss, sind sie nicht uninteressant. Wenn man auf einer Website sein Passwort vergessen hat, dann kann das Geburtsdatum unter den Kontrollfragen sein, um das Passwort zurückzusetzen. So oder so bringen alle Informationen die Angreifer einen Schritt weiter.



Auch Datenpannen beim Organspende-Register und bei Meineimpfung.ch gaben zu reden. Finden Angreifer auf jeder Plattform eine Schwachstelle?

Grundsätzlich ist es nicht wahnsinnig schwierig, eine Plattform mit einem guten Sicherheitsniveau zu entwickeln. Man muss es einfach richtig und konsequent machen. Aber Sicherheit kostet, und nicht alle Software-Entwickler sind in diesem Bereich gleich gut geschult respektive nicht alle Unternehmen legen gleich viel Wert darauf. Bei all den genannten Beispielen gehe ich davon aus, dass eher einfache Software-Fehler das Problem waren. Sicherheit im IT-Bereich kann man sich wie eine Versicherung vorstellen: Erst im Ernstfall sieht man ihren Nutzen.

Häufen sich die Fälle solcher Datenlecks?

Das ist schwer zu quantifizieren, da ja bei Weitem nicht alles publik wird. Auf ein Datenleck bei einem Schweizer Portal reagieren wir aber sicher stärker als bei einem E-Shop in einem fernen Land. Corona-Impfung und Organspende sind ausserdem politische Fragen, was alles zum Eindruck beitragen kann, dass diese Angriffe näherkämen. Ob dem tatsächlich so ist, das wage ich aber zu bezweifeln. Vor Jahren war Sicherheit im Online-Bereich ein viel weniger wichtiges Thema, da hat sich das Bewusstsein definitiv verbessert. Wobei auf der anderen Seite auch die Angriffe raffinierter werden.

Datenleck bei der SBB

Wegen einer Schwachstelle in der Ticket-Verkaufsplattform für den öffentlichen Verkehr waren heikle Daten abgreifbar. Betroffen war die Vertriebsplattform Nova (Netzweite ÖV-Anbindung), die von der SBB im Auftrag der Alliance Swisspass betrieben wird. Ein externer IT-Spezialist hatte die Lücke entdeckt: Ihm sei es gelungen, innert weniger Tage rund eine Million Datensätze abzugreifen, heisst es in einer Mitteilung vom Montag. Die Datensätze enthielten Informationen über gekaufte Billetts und/oder die Gültigkeitsdauer von Abos. Rund die Hälfte der Datensätze war verknüpft mit Namen, Vornamen und Geburtsdaten von Kunden. Die andere Hälfte der Datensätze enthielt unpersönliche Angaben zu an Automaten gekauften Billetts. Keine Angaben flossen laut Communiqué zu Wohnort, Zahlungsmitteln, Passwörtern und E-Mail-Adressen. Der IT-Experte habe das Leck unverzüglich gemeldet. Laut SBB und Alliance Swisspass wurde die Lücke geschlossen, den Kund*innen sei kein Schaden entstanden. Der Eidgenössische Datenschützer teilt auf Anfrage von blue News mit, die SBB hätten aufzeigen können, dass «mit hoher Wahrscheinlichkeit keine Kundendaten missbraucht worden sind». Trotzdem habe man weitere Informationen zum Vorfall verlangt. (sda/gbi)