SBB: Rund 1 Million Datensätze geleakt

Die zentrale Vertriebsplattform NOVA («Netzweite ÖV-Anbindung») des öffentlichen Verkehrs wird von der SBB im Auftrag der Alliance Swisspass betrieben. Ende 2020 erhöhte die SBB die Sicherheit für die Aboerneuerung über diese Plattform. Weil Kunden mehrerer öV-Unternehmen daraufhin ihr Abonnement nicht mehr auf einfache Art und Weise erneuern konnten, ermöglichte die SBB im Dezember 2021 auch den Zugang mit dem alten Mechanismus wieder. Das war ein Fehler, denn dadurch entstand eine Schwachstelle. Anfang 2022 haben die SBB dann festgestellt, durch diese Schwachstelle Daten abgeflossen sind.

Hinweis kam von aussen

Entdeckt hat diese Schwachstelle ein externer IT-Spezialist. Er konnte Anfang Januar 2022 innerhalb weniger Tage automatisiert 0,2 Prozent aller Datensätze abfragen, was rund einer Million Datensätze entspricht. Die Daten enthielten Informationen über gekaufte Billette und/oder die Gültigkeitsdauer von Abos. Rund die Hälfte der Datensätze war ausschliesslich verknüpft mit Name, Vorname und Geburtsdatum von ÖV-Kunden, schreiben die SBB und Alliance Swisspass in ihrer Mitteilung. Die Datensätze hätten keinerlei Angaben zu Wohnort, Zahlungsmitteln, Passwörtern oder E-Mail-Adressen enthalten. Die andere Hälfte der Datensätze enthielt unpersönliche Angaben zu an Automaten gekauften Billetten. Den Kunden entstand somit gemäss den Verantwortlichen kein Schaden. Die Alliance Swisspass und die SBB bedauern den Vorfall.

Datenschützer ist informiert

Dank der Meldung des externen Experten habe die Schwachstelle geschlossen werden können, heisst es in der Mitteilung. Es könnten nun keine Daten mehr unbefugt abgefragt werden. Nach diesem Vorfall informierten die SBB als Betreiberin der Plattform «umgehend» den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) und die beteiligten öV-Unternehmen. Um die Ursache des Fehlers zu finden, wurde eine interne Untersuchung eingeleitet.