SBB-Leck vom Januar 19.08.2022, 11:01 Uhr

SBB wusste über Sicherheitslücke Bescheid und unternahm nichts dagegen

Ein IT-Experte konnte Anfang Jahr rund eine Million Kundendaten abgreifen. Nachdem er dies den SBB gemeldet hatte, schloss das Unternehmen die Schwachstelle. Doch offenbar wusste der Betrieb davon seit Jahren, wie «Blick» berichtet.
SBB-Mobile-App auf einem Smartphone
(Quelle: Schweizerische Bundesbahnen SBB)
Im Januar dieses Jahres gelang es einem externen IT-Sicherheitsexperten, eine Schwachstelle bei den Schweizerischen Bundesbahnen SBB auszunutzen und rund eine Million Datensätze abzugreifen (PCtipp berichtete). Der Entdecker berichtete damals in der SRF-Sendung «Rundschau», das sei sehr leicht gewesen.
Die Swisspass-Daten enthielten Informationen über gekaufte Billette und/oder die Gültigkeitsdauer von Abos. Der IT-Spezialist hatte die SBB umgehend über die Sicherheitslücke informiert und die Bahngesellschaft versicherte im Januar, das Leck sei rasch geschlossen worden.
Jetzt wird bekannt, dass die SBB schon länger über diese Sicherheitslücke Bescheid wusste – und nichts dagegen unternahm, wie «Blick» berichtet. Recherchen des «Blick» zeigen, dass die Kundendaten sogar jahrelang ungeschützt im Netz lagen. Gemäss internen Dokumenten, die der Zeitung vorliegen, hatten interne IT-Spezialisten bereits im März 2018 auf die Schwachstelle aufmerksam gemacht. Doch es passierte nichts.
Im Januar 2020 habe sich ein externer Spezialist gemeldet – doch die SBB blieben auch diesmal untätig. Der Bahnbetrieb hat die Kontaktaufnahme gegenüber «Blick» bestätigt, bei Fragen zum Grund der Unterlassung laut Zeitung aber sehr ausweichend geantwortet. Ein neuer Sicherheitsmechanismus der Vertriebsplattform Nova, einem nationalen ÖV-Verbund der Alliance Swisspass, habe das Problem behoben. «Doch das stimmt nicht ganz. Auf Nachhaken hin wird eingeräumt, dass die Sicherheitslücke auch Ende November 2021 noch offen war – erst dann wurde der alte Link deaktiviert», schreibt «Blick».
Doch da die ÖV-Anbieter mit dem neuen Zugangslink Probleme hatten, wurde der alte Zugang von den SBB bereits im Dezember 2021 wieder aktiviert. Was im Januar darauf vom erwähnten IT-Sicherheitsexperten bemerkt wurde. «Die SBB haben nun entsprechende Massnahmen eingeleitet, damit das Sicherheitsbewusstsein und der Umgang mit Risiken weiter geschärft wird», so Swisspass-Sprecher Reto Hügli zu «Blick».
Artikel drucken
Claudia Maag
Kommentare
Avatar
Holzbock
19.08.2022
Seufz... - so gehen also staatsnahe Betriebe mit unseren Daten um. :mad: Bestimmt eine absolut beruhigende Nachricht für all die vielen Tausend Kundinnen und Kunden, die derzeit gezwungen werden, auf die ach so sichere SwissID umzusteigen. :sick:
Avatar
re460
19.08.2022
Seufz... - so gehen also staatsnahe Betriebe mit unseren Daten um. :mad: Bestimmt eine absolut beruhigende Nachricht für all die vielen Tausend Kundinnen und Kunden, die derzeit gezwungen werden, auf die ach so sichere SwissID umzusteigen. :sick: Staatsferne Betriebe der Privatwirtschaft dürften diesbezüglich nicht besser sein, eher noch um einiges schlimmer. Die SBB haben sich von der SwissID verabschiedet, was vielleicht ein Fehler ist oder war. Tatsache ist doch, dass man mit PC und Smartphone jegliche Daten „freigibt“. Wenn man das nicht will, muss man auf PC und Smartphone verzichten und wieder zu analogen Briefen und auf Käufe im Laden (ohne Online) zurückkehren. Ich will das nicht und gehe damit natürlich ein kleines Risiko ein. Das kann ich reduzieren, wenn ich auf gewisse Dienste bzw. Datenkraken wie Twitter, Facebook & Co. 100 % verzichte und im Netz nicht alles anklicke, was mir unter die Maus kommt. Auch auf Amazon & Co verzichte ich gerne. Online kaufe ich nur bei mir bekannten Unternehmen!
Avatar
tomnet
21.08.2022
... und Wieso wurde aus dem SwissID-Verbund ausgestiegen? Wäre der Datenklau verhindert worden? Wieso wird die verantwortliche Bundesrätin nicht zur Verantwortung gezogen? Hat sie eventuell das "richtige" Parteibuch?
Avatar
gucky62
21.08.2022
... und Wieso wurde aus dem SwissID-Verbund ausgestiegen? Wäre der Datenklau verhindert worden? Wieso wird die verantwortliche Bundesrätin nicht zur Verantwortung gezogen? Hat sie eventuell das "richtige" Parteibuch? Hmm, und was hat das nun mit dem Sicherheitsproblem der SBB und der SwissID zu tun? Beide Betriebe werden Privatwirtschaftlich geführt udn der jeweilige Verwaltungsrat hat primär einmal die Verantwortung und natürlich weitere Verantwortliche in der Organisation. Politisch ist da nun wirklich nichts zu holen. Gruss Daniel
Bitte loggen sie sich ein, um einen Kommentar zu verfassen.