Schwachstelle bei ÖV-Vertriebsplattform festgestellt und behoben

Was ist genau passiert?

Ein externer IT-Spezialist stiess auf eine Schwachstelle der zentralen Vertriebsplattform «NOVA» (Netzweite ÖV-Anbindung) des Öffentlichen Verkehrs. Diese wird von der SBB im Auftrag der Alliance SwissPass betrieben (siehe Box). Der IT-Spezialist konnte Anfang Januar 2022 innert weniger Tage automatisiert 0,2 Prozent aller Datensätze abfragen, was rund einer Million Datensätze entspricht. Die Daten enthielten Informationen über gekaufte Billette und/oder die Gültigkeitsdauer von Abos. Rund die Hälfte der Datensätze war verknüpft mit Name, Vorname und Geburtsdatum von ÖV-Kundinnen und -Kunden. Die Datensätze enthielten keinerlei Angaben zu Adresse, Zahlungsmitteln, Passwörtern oder E-Mail-Adressen. Die andere Hälfte der Datensätze enthielt lediglich technische Angaben zu an Automaten gekauften Billetten.

Was hat die SBB unternommen?

Die automatische Datenabfrage wurde von Analysten der SBB Anfang Januar entdeckt und gestoppt. Die SBB informierte umgehend den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten und die beteiligten ÖV-Unternehmen. Im Nachgang wurden auch die Medien und Kundschaft informiert. In der Zwischenzeit meldete sich ein externer IT-Spezialist bei der SBB, der sich zu dieser Datenabfrage bekannte.

Was ist mit den abgerufenen Daten geschehen?

Der externe IT-Spezialist bestätigte der SBB, dass er die heruntergeladenen personenbezogenen Daten unwiderruflich gelöscht hatte. Die unbefugte, automatisierte Abfrage von Daten ist nicht mehr möglich. Den Kundinnen und Kunden entstand deshalb kein Schaden.

Wie kann die SBB sicher sein, dass kein Schaden entstanden ist?

Im Nachgang konnte aufgrund von Analysen geklärt werden, dass alle abgeflossenen Daten auf die Abfrage durch den externen IT-Spezialisten abgerufen zurückzuführen sind. Diese Daten wurden unwiderruflich gelöscht.

Weshalb gab es überhaupt eine Schwachstelle?

Ende 2020 führte die SBB einen neuen Sicherheitsmechanismus ein. Weil Kundinnen und Kunden mehrerer ÖV-Unternehmen daraufhin ihr Abonnement nicht mehr auf einfache Art und Weise erneuern konnten, ermöglichte die SBB im Dezember 2021 auch den Zugang mit dem alten Mechanismus wieder. Das war ein Fehler, denn dadurch entstand eine Schwachstelle. Die Alliance SwissPass als Auftraggeberin der Plattform und die SBB als Betreiberin bitten die ÖV-Kundinnen und -Kunden um Entschuldigung.

Waren meine Daten vom Datenabfluss betroffen?

Falls Sie wissen wollen, ob Ihre Billett- oder Abodaten von der Schwachstelle betroffen sind, können Sie sich an datenschutz@sbb.ch wenden.

Welche Lehren zieht die SBB, solche Fehler zu vermeiden?

Die SBB hat eine interne Untersuchung eingeleitet, um die Ursache des Fehlers zu eruieren. Fachleute der SBB haben die Vertriebsplattform unter die Lupe genommen und lassen sie auch noch von unabhängigen Experten überprüfen.

Weshalb befinden sich so viele Kundendaten auf der Vertriebsplattform?

Die SBB muss diese Daten für Abrechnungszwecke speichern. Je nach Art der Daten beträgt die gesetzliche Aufbewahrungsfrist mehrere Jahre. Die Daten werden weder auf Vorrat noch für andere Zwecke als die Abrechnung gespeichert.

Was macht die SBB in Sachen Datenschutz?

Die SBB unternimmt sehr grosse Anstrengungen in Sachen IT-Sicherheit und Datenschutz, gerade auch was Kundendaten betrifft. Die SBB IT jährlich einen zweistelligen Millionenbetrag für Cyber-Security aus. Die IT-Systeme werden permanent Analysen unterzogen, um Angriffsmöglichkeiten zu unterbinden. Die über 30’000 Mitarbeitenden werden regelmässig zum Thema Cyber-Security und Datenschutz informiert und sensibilisiert.

Informieren Sie sich zum Thema Datenschutz bei der SBB.