SBB-Leck vom Januar
19.08.2022, 13:28 Uhr
SBB wusste über Sicherheitslücke Bescheid und unternahm nichts dagegen
Ein IT-Experte konnte Anfang Jahr rund eine Million Kundendaten abgreifen. Nachdem er dies den SBB meldete, schloss das Unternehmen die Schwachstelle. Doch offenbar wusste der Betrieb davon seit Jahren, wie «Blick» berichtet.
Obwohl die SBB schon vor Jahren über die Sicherheitslücke informiert wurden, passierte nichts
(Quelle: Schweizerische Bundesbahnen SBB)
Im Januar dieses Jahres gelang es einem externen IT-Sicherheitsexperten, eine Schwachstelle bei den Schweizerischen Bundesbahnen SBB auszunutzen und rund eine Million Datensätze abzugreifen (Computerworld berichtete). Der Entdecker berichtete damals in der SRF-Sendung «Rundschau», das sei sehr leicht gewesen.
Die Swisspass-Daten enthielten Informationen über gekaufte Billette und/oder die Gültigkeitsdauer von Abos. Der IT-Spezialist hatte die SBB umgehend über die Sicherheitslücke informiert und die Bahngesellschaft versicherte im Januar, das Leck sei rasch geschlossen worden.
Jetzt wird bekannt, dass die SBB schon länger über diese Sicherheitslücke Bescheid wusste – und nichts dagegen unternahm, wie «Blick» berichtet. Recherchen des «Blick» zeigen, dass die Kundendaten sogar jahrelang ungeschützt im Netz lagen. Gemäss internen Dokumenten, die der Zeitung vorliegen, hatten interne IT-Spezialisten bereits im März 2018 auf die Schwachstelle aufmerksam gemacht. Doch es passierte nichts.
Im Januar 2020 habe sich ein externer Spezialist gemeldet – doch die SBB blieben auch diesmal untätig. Der Bahnbetrieb hat die Kontaktaufnahme gegenüber «Blick» bestätigt, bei Fragen zum Grund der Unterlassung laut Zeitung aber sehr ausweichend geantwortet. Ein neuer Sicherheitsmechanismus der Vertriebsplattform Nova, einem nationalen ÖV-Verbund der Alliance Swisspass, habe das Problem behoben. «Doch das stimmt nicht ganz. Auf Nachhaken hin wird eingeräumt, dass die Sicherheitslücke auch Ende November 2021 noch offen war – erst dann wurde der alte Link deaktiviert», schreibt «Blick».
Doch da die ÖV-Anbieter mit dem neuen Zugangslink Probleme hatten, wurde der alte Zugang von den SBB bereits im Dezember 2021 wieder aktiviert. Was im Januar darauf vom erwähnten IT-Sicherheitsexperten bemerkt wurde. «Die SBB haben nun entsprechende Massnahmen eingeleitet, damit das Sicherheitsbewusstsein und der Umgang mit Risiken weiter geschärft wird», so Swisspass-Sprecher Reto Hügli zu «Blick».