Datenleck bei der SBB Millionen Datensätze von Swisspass-Kunden waren offen einsehbar

Aufgrund eines Datenlecks bei der SBB konnte ein externer IT-Experte an Zigtausende Daten von Swisspass-Kunden gelangen. Wie es heisst, sei die Sicherheitslücke gestopft worden. Es sei kein Schaden entstanden. 

Wegen einer Lücke bei der Ticket-Verkaufsplattform für den öffentlichen Verkehr ist rund eine Million Datensätze abgeflossen. Nach einem Hinweis sei das Leck gestopft worden, teilten SBB und Alliance Swisspass am Montag mit. Den Kunden sei kein Schaden entstanden.

Betroffen ist die zentrale Vertriebsplattform Nova (Netzweite ÖV-Anbindung) des öffentlichen Verkehrs. Sie wird von der SBB im Auftrag der Alliance Swisspass betrieben.

Hinweis von aussen

Auf das Leck aufmerksam gemacht wurden die SBB und Alliance Swisspass von einem externen IT-Spezialisten. Diesem sei es gelungen, im Januar in wenigen Tagen rund eine Million Datensätze abzufragen. Das entspricht laut Communiqué 0,2 Prozent aller Datensätze. Der Mann habe die Datensätze «unwiderruflich» gelöscht.

Die geleakten Datensätze enthielten Informationen über gekaufte Billetts und/oder die Gültigkeitsdauer von Abonnements, wie es im Communiqué hiess. Rund die Hälfte der Datensätze war ausschliesslich verknüpft mit Namen, Vornamen und Geburtsdatum von Kunden. Keine Angaben flossen zu Wohnort, Zahlungsmitteln, Passwörtern und E-Mail-Adressen ab. Die andere Hälfte der Datensätze enthielt unpersönliche Angaben zu an Automaten gekauften Billetts.

Experte zum SBB-Leck«Wer Personendaten kennt, kann diese auch missbrauchen»

SBB und Alliance Swisspass baten in der Mitteilung die Kundschaft um Entschuldigung. Die Schwachstelle sei entstanden, weil zunächst die Sicherheit für die Abo-Erneuerung über die Plattform erhöht worden sei, schrieben sie.

Weil danach aber Kunden mehrerer öV-Unternehmen ihre Abonnements nicht mehr auf «einfache Art und Weise» hätten erneuern können, hätten die SBB im Dezember den Zugang zum alten Mechanismus wieder ermöglicht. Ein Fehler: Denn damit sei die Schwachstelle entstanden.

Datenschützer informiert

Die SBB als Betreiberin der Plattform infomierten den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) und die beteiligten öV-Unternehmen. Um die Ursache des Fehlers zu finden, wurde eine interne Untersuchung eingeleitet.

Die SBB hätten den Vorfall am 11. Januar gemeldet, bestätigte Silvia Böhlen, Sprecherin des Datenbeauftragten, auf Anfrage von blue News.

Die SBB hätten glaubhaft nachweisen können, dass der Fehler seit dem 9. Januar behoben sei und dass «mit hoher Wahrscheinlichkeit» keine Kundendaten missbraucht worden seien, so Böhlen. Deshalb bestünden nach geltendem Recht keine sofortigen Informations- und Meldepflichten.

Trotzdem habe der Datenschützer von der SBB genauere Informationen zum Vorfall verlangt und dass die nötigen Massnahmen getroffen werden, um die Schwachstelle so rasch wie möglich zu beheben.

Alle automatisierten Datenabfragen hätten auf den «Hack» durch den IT-Fachmann – bei dem es sich laut EDÖB um ein Mitglied der Digitalen Gesellschaft handelt – zurückgeführt werden können. 

Um die Ursache des Fehlers zu finden, wurde eine interne Untersuchung eingeleitet. Wie lange diese dauern wird, konnte SBB-Sprecher Reto Schärli nicht sagen.

SDA/uri/gbi

SDA