Wegen einer Lücke bei der Ticket-Verkaufsplattform für den öffentlichen Verkehr ist rund eine Million Datensätze abgeflossen. Nach einem Hinweis sei das Leck gestopft worden, teilten SBB und Alliance Swisspass am Montag mit. Den Kunden sei kein Schaden entstanden.

Betroffen ist die zentrale Vertriebsplattform Nova (Netzweite ÖV-Anbindung) des öffentlichen Verkehrs. Sie wird von der SBB im Auftrag der Alliance Swisspass betrieben.

Hinweis von aussen

Auf das Leck aufmerksam gemacht wurden die SBB und Alliance Swisspass von einem externen IT-Spezialisten. Diesem sei es gelungen, im Januar in wenigen Tagen rund eine Million Datensätze abzufragen. Das entspricht laut Communiqué 0,2 Prozent aller Datensätze. Der Mann habe die Datensätze «unwiderruflich» gelöscht.

Trotz seiner guten Absichten sind sogar rechtliche Konsequenzen für den Mann möglich, auch wenn das nicht wahrscheinlich ist. «Wir untersuchen den Fall in allen Dimensionen, auch juristisch», schreibt ein SBB-Sprecher gegenüber dieser Zeitung. Und ein Sprecher von Alliance Swisspass schreibt: «Da kein finanzieller Schaden entstanden ist, werden wir respektive die SBB den Sachverhalt juristisch prüfen und wo notwendig die rechtlichen Schritte einleiten. Im Mittelpunkt steht jedoch aktuell, dass sich eine solche Schwachstelle nicht wiederholen darf.»

Keine Zahlungs-Infos entwendet

Die geleakten Datensätze enthielten Informationen über gekaufte Billetts und/oder die Gültigkeitsdauer von Abonnements, wie es im Communiqué hiess. Rund die Hälfte der Datensätze war ausschliesslich verknüpft mit Namen, Vornamen und Geburtsdatum von Kunden. Keine Angaben flossen zu Wohnort, Zahlungsmitteln, Passwörtern und Mail-Adressen ab. Die andere Hälfte der Datensätze enthielt unpersönliche Angaben zu an Automaten gekauften Billetts.

SBB und Alliance Swisspass baten in der Mitteilung die Kundschaft um Entschuldigung. Die Schwachstelle sei entstanden, weil zunächst die Sicherheit für die Abo-Erneuerung über die Plattform erhöht worden sei, schrieben sie.

Weil danach aber Kunden mehrerer ÖV-Unternehmen ihre Abonnements nicht mehr auf «einfache Art und Weise» hätten erneuern können, hätten die SBB im Dezember den Zugang zum alten Mechanismus wieder ermöglicht. Ein Fehler: Denn damit sei die Schwachstelle entstanden.

Datenschützer informiert

Dank der Meldung des externen Experten habe die Schwachstelle geschlossen werden können, heisst es in der Mitteilung. Es könnten nun keine Daten mehr unbefugt abgefragt werden.

Die SBB als Betreiberin der Plattform infomierten den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) und die beteiligten ÖV-Unternehmen. Um die Ursache des Fehlers zu finden, wurde eine interne Untersuchung eingeleitet.

SDA/kst

Fehler gefunden?Jetzt melden.