Schweizer Bundesbahn (SBB): Kundendaten jahrelang frei im Netz verfügbar

Publiziert am 22. August 2022 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)Im Januar 2022 ist es einem IT-Experten gelungen, sich in ein Portal einzuhacken, und die Swisspass-Daten von Tausenden Kunden abzurufen. Insgesamt sollen ein halbe Million Reisende des Swisspass-Verbunds der Schweizer Bundesbahn (SBB) betroffen sein. Nun kommt heraus, dass diese Sicherheitslücke wohl über längere Zeit bestanden hat – ein Medium schreibt, dass die Kundendaten jahrelang frei im Netz verfügbar waren. Ein genauer Blick zeigt eine dumme Verkettung von Handlungen – da wurde gepatcht, und dann alte Methoden beibehalten sowie der Patch wegen Problemen wieder zurückgenommen. Hier einige Informationen zum Thema.

Anzeige

Blog-Leser Adrian hat mich per Mail auf das Thema aufmerksam gemacht (danke dafür), was nochmals kurz in Schweizer Medien hochkocht. Dass es bei der Schweizer Bundesbahn (SBB) IT-mäßig zu Problemen kommen kann, ist schon bekannt. Bei der Kurzrecherche zu diesem Beitrag bin ich auf diesen Artikel vom 22. Oktober 2021 gestoßen. Er behandelt den Fall, dass ein 16-jähriger Lehrling es mit einem Trick geschafft hat, sich unbegrenzt Fahrten mit der SBB zu verschaffen. Über eine Sicherheitslücke konnte er sich gültige 1. Klasse-Tickets per Notebook und Smartphone generieren. Die SBB bezeichnete es als "Missbrauch", was juristisch zwar korrekt ist, aber Kriminelle nicht wirklich juckt. Aber da geht noch mehr.

Das SBB-Swisspass-Datenleck

Zum 24. Januar 2022 erschütterte ein Datenskandal die Schweizer Bundesbahn (SBB): Einem White-Hat-Hacker war es gelungen, über eine Schwachstelle auf einfachem Wege die persönlichen Daten von ca. einer halben Million Reisenden abzurufen, die Tickets des Swisspass-Verbunds genutzt hatten. Die Daten umfassten die Namen der Reisenden, das Geburtsdatum, die Anzahl gekaufter Tickets erster oder zweiter Klasse sowie der Abfahrts- und Zielort.

Der Datensatz ermöglicht Bewegungsprofile der Kunden abzuleiten oder mit den Daten anderweitig Missbrauch zu treiben. Bei SRF bezeichnet Otto Hostettler, Experte für Internet-Kriminalität, in diesem Artikel das Ganze als Super-GAU für die SBB. Der Datensatz hätte in den falschen Händen ein grosses Missbrauchspotenzial, bescheinigt der Experte. Und Informatikprofessor Ueli Maurer von der ETH-Zürich wird vom Tagesanzeiger hier mit "Unsere Gesellschaft ist abhängig von Systemen, die wir nicht beherrschen" zitiert. Maurer sieht die große Gefahr, "dass die Menschheit in größere Probleme reinlaufen wird".

Die SBB und die Swisspass Alliance haben diese Schwachstelle eingeräumt und diese laut eigenen Aussagen auch unverzüglich beseitigt. In diesem Artikel findet sich der Hinweis, "Es sei den Kunden aber kein Schaden entstanden". Na, dann ist ja gut – oder doch nicht?

Schwachstelle seit 3 Jahren bekannt

Nun decken Recherchen von Blick und TopOnline auf, dass der Konzern von der Schwachstelle seit drei Jahren wusste, aber nichts zur Behebung tat. Dem Medium Blick wurden wohl interne Dokumente der SBB zugespielt, die belegen, dass der Konzern mehr als mehr als dreieinhalb Jahre lang über die Schwachstelle Bescheid wusste. Reto Hügli, Sprecher der Alliance Swisspass, bestätigte gegenüber dem Blick "Es ist korrekt, dass die SBB im 2018 erste Hinweise von IT-Spezialisten erhielten".

Laut TopOnline befand sich die Schwachstelle in der Vertriebsplattform Nova, welche die SBB für den nationalen ÖV-Verbund Alliance Swisspass betreibt. Andere ÖV-Anbieter können ihre Kunden-Abos über einen Zugangslink auf dieser verlängern. Bei einer Manipulation des Links können Daten wie Namen, Vornamen und Geburtstage von ÖV-Kunden heruntergeladen werden.

In den Medien heißt es, dass aber nichts passiert sei. Allerdings wird auch erwähnt, dass diese Schwachstelle laut SBB im November 2020 geschlossen worden sei. Dem war aber definitiv nicht so. Am 9. Januar 2022 konnte der IT-Spezialist weiterhin die Daten von 500.000 Kunden abrufen. Damals informierte er die SBB.

Erst als der friedly Hacker die SBB auf die abgezogenen Kundendaten hinwies und auch die Schweizer Medien informierte, ging die SBB zum 24. Januar 2022 an die Öffentlichkeit. Dort bemühte man sich den Fall klein zu halten – man habe die Schwachstelle unverzüglich beseitigt.

Anzeige

Pleiten, Pech und Pannen

Beim Blick kann man noch mehr Details nachlesen. Trotz dem Patches zum November 2020 konnten andere ÖV-Anbieter ihre Kunden-Abos weiter über den alten Zugangslink verlängern – die Schwachstelle war also weiterhin ausnutzbar. Diese Möglichkeit wurde erst im November 2021 durch Deaktivierung des alten Links bzw. des Verfahrens geschlossen.

Im Hinblick auf Pleiten, Pech und Pannen stellte sich dann aber heraus, dass es wohl Probleme mit der neuen Methode gab. Blick schreibt: "Weil die ÖV-Anbieter mit dem neuen Zugangslink Probleme hatten, die Abonnements ihrer Kunden auf einfache Weise zu erneuern, aktivierten die SBB den alten Zugang aber schon im Dezember 2021 wieder. Sprecher Reto Hügli wird von diesem Medium so zitiert: "Der Schritt erfolgte mit der guten Absicht, ein relevantes Kundenproblem zu lösen. Dabei wurden die Risiken falsch eingeschätzt."

Ich gehe davon aus, dass der IT-Experte dann von dieser "Maßnahme" Kenntnis erhielt und dann Anfang Januar 2022 zuschlug und die Daten abfischte. Es gab dann schon einige Wellen, als das Ganze öffentlich wurde. Die SBB erstatteten beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten Meldung und leiteten eine interne Untersuchung ein. Unabhängige Experten sollten die Ursache des Fehlers eruieren.

Fragen über Fragen

An dieser Stelle bleiben bei mir einige Fragen offen: Wenn der Fehler kurzfristig behoben wurde, warum was das beim ersten Versuch im November 2020 nicht möglich? Oder wurde der im Dezember 2021 wegen Problemen wieder aktivierte Revisionsstand lediglich deaktiviert, so dass es jetzt wieder zu Problemen mit der Abo-Verlängerung kommt? In dieser Frage geben die Medienberichte keine Auskunft und die SBB scheint das Ganze klein halten zu wollen.

Für mich war die SBB als Außenstehender ein Ausbund an Solidität – "die fahren immer, sogar durch Berge hindurch, mit Schweizer Präzision".  Wie drückt es Informatikprofessor Ueli Maurer von der ETH-Zürich aus: "Bei der UBS [Schweizer Bank] zum Beispiel gibt es zahlreiche Sicherheitsvorkehrungen mehr, weil es viel schlimmer wäre, wenn dort jemand zugreifen könnte. Die SBB [Bahn] dagegen haben als Priorität, dass die Züge fahren. Bei Firmen, für die Datensicherheit nicht das Kernbusiness ist, gibt es meistens irgendwo eine Schwäche. Sie denken, dass sie so viel zusätzlich investieren müssten, um ihr System ein bisschen sicherer zu machen, sodass sie aus Kosten-Nutzen-Überlegungen oft davon absehen." Kommt mir aber auch aus Deutschland irgendwie bekannt vor.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Schweizer Bundesbahn (SBB): Kundendaten jahrelang frei im Netz verfügbar

  1. Bernd B. sagt:
    22. August 2022 um 07:11 Uhr

    Bei aller Kritik an der SBB-IT:
    Wenn man für den Zugriff erst eine Schwachstelle ausnutzen muss ist das eben _nicht_ "frei im Netz verfügbar". Die Überschrift ist dann doch eher wahlweise Clickbait oder Basching.

    Der gemeine User sollte solche Meldungen zum Anlass für Datensparsamkeit und -soweit möglich- Pseudonymität gegenüber _allen_ Anbietern nehmen.

    Antworten

Schreibe einen Kommentar zu Bernd B. Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.