Einem IT-Sicherheitsexperten ist es mit einem einfachen Kniff gelungen, bei der SBB eine gewaltige Menge persönlicher Daten von Kundinnen und Kunden herunterzuladen. Der riesige Datensatz hat es in sich: Da stehen Namen der Reisenden, das Geburtsdatum, die Anzahl gekaufter Tickets erster oder zweiter Klasse sowie der Abfahrts- und Zielort. Und das eine Million Mal und von rund 500'000 Kundinnen und Kunden des öffentlichen Verkehrs. Theoretisch liesse sich damit ein Bewegungsprofil aller betroffenen Kunden erstellen, so der IT-Sicherheitsexperte.
Betroffen vom Datenloch ist der ganze Swisspass-Verbund und damit praktisch alle Betriebe des öffentlichen Verkehrs und alle Kundinnen und Kunden mit Halbtaxabo. Grosse Gefahr sieht der Experte, wenn die SBB-Daten mit anderen geklauten Daten ergänzt werden. Daraus können Kriminelle gezielt personalisierte Attacken lancieren, beispielsweise Erpressungen – auch von exponierten Personen wie Firmenchefs oder Politikern.
Die Swisspass Alliance und die SBB haben die "Schwachstelle" eingeräumt. Es sei ein Fehler passiert im System für Abo-Erneuerungen, heisst es in einer Mitteilung. Sie bitten die ÖV-Kundinnen und Kunden um Entschuldigung. Es sei den Kunden aber kein Schaden entstanden.
Die Sicherheitslücke sei dank der Information des Hackers geschlossen. Die SBB informierte umgehend den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten und die beteiligten ÖV-Unternehmen. Zudem sei eine interne Untersuchung eingeleitet worden. Der IT-Sicherheitsexperte hat den Daten-Klau über die Festtage begangen. Anschliessend hat er die SBB mit einem detaillierten Report über den Vorfall informiert.
Der Online-Stellenmarkt für ICT Professionals