Experte zum SBB-Leck «Wer Personendaten kennt, kann diese auch missbrauchen»

Schon wieder ein Datenleck: Persönliche Daten und Billettkäufe von Tausenden SBB-Passagieren waren offen einsehbar. Wozu sich solche Daten nutzen lassen und ob sich die Fälle häufen, erklärt ein IT-Experte.  

Herr Rennhard, wenn Unbefugte einsehen können, welche Zugfahrten ich unternommen habe – muss mich das beunruhigen?

Auf den ersten Blick scheinen die betroffenen Daten wie Vorname, Name, Geburtsdatum und Bewegungsdaten nicht sehr heikel. Dennoch ergeben sich für Angreifer interessante Angriffsszenarien. Und da wohl ein grosser Teil der Bewohner der Schweiz einen Account bei der SBB hat, können potenziell auch sehr viele durch Folgeattacken betroffen sein. Generell gilt: Wenn man Personendaten kennt, kann man diese auch missbrauchen.

Was wäre denn ein denkbares Szenario?

Mit den Bewegungsdaten einer Person kann ich sehr gezielte Phishing-Attacken ausführen. Ich schreibe dann zum Beispiel eine E-Mail: «Sehr geehrter Herr Müller, bei der Abrechnung Ihrer Zugreise am Tag X von A nach B gab es ein Problem, bitte überprüfen Sie die Rechnung unter diesem Link.» Weil man diese Strecke tatsächlich gefahren ist, wird man dem Mail viel eher Glauben schenken, dem Link der Betrüger folgen und seine Zugangsdaten eintippen. Das macht diese Daten wertvoll, auch wenn es auf den ersten Blick vielleicht nicht so dramatisch erscheint, wenn jemand über meine Zugreisen informiert ist.

Können Sie noch ein weiteres Beispiel machen?

Kriminelle sehen vielleicht auch, dass jemand am späten Montagabend immer unterwegs ist – also könnte es ja sein, dass dann niemand zu Hause ist. So lassen sich Rückschlüsse ziehen.

Sie haben jetzt über die Bewegungsdaten gesprochen. Was liesse sich mit Name, Vorname und Geburtsdatum anfangen?

Da man sich heute vermehrt online ausweisen oder identifizieren muss, sind sie nicht uninteressant. Wenn man auf einer Website sein Passwort vergessen hat, dann kann das Geburtsdatum unter den Kontrollfragen sein, um das Passwort zurückzusetzen. So oder so bringen alle Informationen die Angreifer einen Schritt weiter.

CyberbetrugSo erkennst du Phishing-SMS

Auch Datenpannen beim Organspende-Register und bei Meineimpfung.ch gaben zu reden. Finden Angreifer auf jeder Plattform eine Schwachstelle?

Grundsätzlich ist es nicht wahnsinnig schwierig, eine Plattform mit einem guten Sicherheitsniveau zu entwickeln. Man muss es einfach richtig und konsequent machen. Aber Sicherheit kostet, und nicht alle Software-Entwickler sind in diesem Bereich gleich gut geschult respektive nicht alle Unternehmen legen gleich viel Wert darauf. Bei all den genannten Beispielen gehe ich davon aus, dass eher einfache Software-Fehler das Problem waren. Sicherheit im IT-Bereich kann man sich wie eine Versicherung vorstellen: Erst im Ernstfall sieht man ihren Nutzen.

Häufen sich die Fälle solcher Datenlecks?

Das ist schwer zu quantifizieren, da ja bei Weitem nicht alles publik wird. Auf ein Datenleck bei einem Schweizer Portal reagieren wir aber sicher stärker als bei einem E-Shop in einem fernen Land. Corona-Impfung und Organspende sind ausserdem politische Fragen, was alles zum Eindruck beitragen kann, dass diese Angriffe näherkämen. Ob dem tatsächlich so ist, das wage ich aber zu bezweifeln. Vor Jahren war Sicherheit im Online-Bereich ein viel weniger wichtiges Thema, da hat sich das Bewusstsein definitiv verbessert. Wobei auf der anderen Seite auch die Angriffe raffinierter werden.