Anfang 2022 stellte die SBB bei der öV-Vertriebsplattform «NOVA» einen Datenabfluss aufgrund einer Schwachstelle fest. Dank eines Hinweises konnte diese umgehend behoben werden. Kundinnen und Kunden entstand kein Schaden. Die Alliance Swisspass und die SBB bedauern den Vorfall.
Die zentrale Vertriebsplattform NOVA («Netzweite ÖV-Anbindung») des öffentlichen Verkehrs wird von der SBB im Auftrag der Alliance Swisspass betrieben [siehe weiter unten]. Ende 2020 erhöhte die SBB die Sicherheit für die Aboerneuerung über diese Plattform. Weil Kundinnen und Kunden mehrerer öV-Unternehmen daraufhin ihr Abonnement nicht mehr auf einfache Art und Weise erneuern konnten, ermöglichte die SBB im Dezember 2021 auch den Zugang mit dem alten Mechanismus wieder. Das war ein Fehler, denn dadurch entstand eine Schwachstelle.
Ein externer IT-Spezialist stiess auf diese Schwachstelle und konnte Anfang Januar 2022 innert weniger Tage automatisiert 0,2 Prozent aller Datensätze abfragen, was rund einer Million Datensätze entspricht. Die Daten enthielten Informationen über gekaufte Billette und/oder die Gültigkeitsdauer von Abos. Rund die Hälfte der Datensätze war ausschliesslich verknüpft mit Name, Vorname und Geburtsdatum von ÖV-Kundinnen und -Kunden. Die Datensätze enthielten keinerlei Angaben zu Wohnort, Zahlungsmitteln, Passwörtern oder E-Mail-Adressen. Die andere Hälfte der Datensätze enthielt unpersönliche Angaben zu an Automaten gekauften Billetten.
Der externe IT-Spezialist meldete der SBB in der Folge die Schwachstelle und löschte die Daten, die er heruntergeladen hatte, mittlerweile unwiderruflich. Die SBB konnte dank der Meldung die Schwachstelle umgehend schliessen. Die unbefugte, automatisierte Abfrage von Daten ist nicht mehr möglich. Den Kundinnen und Kunden entstand kein Schaden.
Die SBB informierte umgehend den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) und die beteiligten öV-Unternehmen. Auch ist eine interne Untersuchung eingeleitet worden, um die Ursache des Fehlers zu eruieren. Die Alliance Swisspass als Auftraggeberin der Plattform und die SBB als Betreiberin bitten die öV-Kundinnen und -Kunden um Entschuldigung. Die SBB unternimmt sehr grosse Anstrengungen in Sachen IT-Sicherheit, gerade auch was Kundendaten betrifft. Die IT-Systeme werden permanent Analysen unterzogen, um Angriffsmöglichkeiten zu unterbinden.
SBB betreibt Vertriebsplattform für öV-Branche |
---|
Die SBB betreibt die zentrale Vertriebsplattform NOVA des öffentlichen Verkehrs im Auftrag der Alliance Swisspass. In der Datenbank werden Billett- und Aboinformationen zu Abrechnungszwecken gespeichert. Der Webshop der SBB sowie die Verkaufsplattformen von weiteren öV-Unternehmen sind mit der Datenbank verknüpft. |
Links
- Blick: Hunderte Millionen SBB-Kundendaten lagen jahrelang im Netz
- Panne auch bei Ticketcontrol.ch: SRF: Sicherheitslücke im Kundenportal des Schwarzfahrer-Registers