Ein externer IT-Spezialist stiess auf diese Schwachstelle und konnte Anfang Januar 2022 innert weniger Tage automatisiert 0,2 Prozent aller Datensätze abfragen, was rund einer Million Datensätze entspricht. Die Daten enthielten Informationen über gekaufte Billette und/oder die Gültigkeitsdauer von Abos. Rund die Hälfte der Datensätze war ausschliesslich verknüpft mit Name, Vorname und Geburtsdatum von ÖV-Kundinnen und -Kunden. Die Datensätze enthielten keinerlei Angaben zu Wohnort, Zahlungsmitteln, Passwörtern oder E-Mail-Adressen. Die andere Hälfte der Datensätze enthielt unpersönliche Angaben zu an Automaten gekauften Billetten.

Der externe IT-Spezialist meldete der SBB in der Folge die Schwachstelle und löschte die Daten, die er heruntergeladen hatte, mittlerweile unwiderruflich. Die SBB konnte dank der Meldung die Schwachstelle umgehend schliessen. Die unbefugte, automatisierte Abfrage von Daten ist nicht mehr möglich. Den Kundinnen und Kunden entstand kein Schaden.

Die SBB informierte umgehend den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten und die beteiligten ÖV-Unternehmen. Auch ist eine interne Untersuchung eingeleitet worden, um die Ursache des Fehlers zu eruieren. Die Alliance SwissPass als Auftraggeberin der Plattform und die SBB als Betreiberin bitten die ÖV-Kundinnen und -Kunden um Entschuldigung.

Die SBB unternimmt sehr grosse Anstrengungen in Sachen IT-Sicherheit, gerade auch was Kundendaten betrifft. Die IT-Systeme werden permanent Analysen unterzogen, um Angriffsmöglichkeiten zu unterbinden.

Die SBB betreibt die zentrale Vertriebsplattform des Öffentlichen Verkehrs im Auftrag der Alliance SwissPass. In der Datenbank werden Billett- und Aboinformationen zu Abrechnungszwecken gespeichert. Der Webshop der SBB sowie die Verkaufsplattformen von weiteren ÖV-Unternehmen sind mit der Datenbank verknüpft.