SBB-Hackerangriff Anfang Jahr musste passieren
Wegen eines unterdessen behobenen Fehlers ist rund eine Million Datensätze der Ticket-Verkaufsplattform für den öffentlichen Verkehr abgeflossen. (Themenbild: KEYSTONE/CHRISTIAN BEUTLER)
Bei den Schweizerischen Bundesbahnen (SBB) wurden Anfang Jahr eine Million Kundendaten durch Hackerangriffe abgezogen. IT-Spezialisten seien über den einfachen Daten beängstigt, wie der Blick schreibt. Der Hacker musste dafür lediglich einige leichte Anpassungen an der Website-URL vornehmen, wie es in IT-Kreisen heisst. Ein Laie hätte dies auch hingekriegt. Am 24. Januar informierte die SBB ihre Kundschaft und die Öffentlichkeit über den Hackerangriff. «Dank einem Hinweis» konnte die Schwachstelle im System behoben werden. Blick-Recherchen zeigen nun, dass die SBB gar nicht auf externe Hinweise angewiesen gewesen seien. Das eigene Versagen wurde im Januar gewaltig heruntergespielt.
Über die Schwachstelle im System wusste die SBB schon seit dreieinhalb Jahren Bescheid. IT-Spezialisten machten die Bundesbahnen schon im März 2018 darauf aufmerksam. Die Schwachstelle umfasst die Vertriebsplattform Nova, welche die SBB für den nationalen ÖV-Verbund Alliance Swisspass betreibt. Andere ÖV-Anbieter können ihre Kundenabos über einen Zugangslink auf dieser verlängern. Bei einer Manipulation des Links können Daten wie Namen, Vornamen und Geburtstage von ÖV-Kunden heruntergeladen werden. Sprecher der Alliance Swisspass, Reto Hügli sagt gegenüber Blick; «Es ist korrekt, dass die SBB im 2018 erste Hinweise von IT-Spezialisten erhielten.»
Die Schwachstelle sei im November 2020 geschlossen worden, wie die SBB betont. Dies war nicht ganz korrekt. Die Sicherheitslücke war auch Ende November 2021 noch offen. Erst dann wurde der alte Link deaktiviert.
Die ÖV-Anbieter hatten jedoch mit dem neuen Zugangslink Probleme, worauf die SBB den alten Zugang wieder aktivierten. Darauf folgte der schwere Datenklau von diesem Winter. Am 9. Januar 2022 begann ein Hacker damit, Kundendaten von der Plattform herunterzuladen und klaute so eine Million von 500 Millionen verfügbaren Daten. Das Glück war aber auf der Seite der SBB. Der Angriff stammte von einem sogenannten ethischen Hacker, welcher nach Sicherheitslücken im System sucht und Firmen darauf aufmerksam macht. Die Daten wurden vom Hacker nach dem Klau umgehend wieder gelöscht.
Die Wiederaktivierung des alten Links war das Ergebnis einer Fehleinschätzung seitens SBB. Nach dem Angriff und der Bekanntgabe des Schadens starteten die SBB auf ihrem eigenen Newsportal eine Offensive. In dieser erklärte die rote Eisenbahngesellschaft, wie anstrengend der Umgang mit sensiblen Kundendaten sei. Dabei sollte auf keinen Fall der Eindruck entstehen, dass fahrlässig mit den Daten umgegangen wird. Dreieinhalb Jahre Kenntnis der Schwachstelle ohne Reaktion zeigt jedoch ein anderes Bild.