TopOnline<\/a> auf, dass der Konzern von der Schwachstelle seit drei Jahren wusste, aber nichts zur Behebung tat. Dem Medium Blick wurden wohl interne Dokumente der SBB zugespielt, die belegen, dass der Konzern mehr als mehr als dreieinhalb Jahre lang \u00fcber die Schwachstelle Bescheid wusste. Reto H\u00fcgli, Sprecher der Alliance Swisspass, best\u00e4tigte gegen\u00fcber dem Blick \"Es ist korrekt, dass die SBB im 2018 erste Hinweise von IT-Spezialisten erhielten\".<\/p>\nLaut TopOnline befand sich die Schwachstelle in der Vertriebsplattform Nova, welche die SBB f\u00fcr den nationalen \u00d6V-Verbund Alliance Swisspass betreibt. Andere \u00d6V-Anbieter k\u00f6nnen ihre Kunden-Abos \u00fcber einen Zugangslink auf dieser verl\u00e4ngern. Bei einer Manipulation des Links k\u00f6nnen Daten wie Namen, Vornamen und Geburtstage von \u00d6V-Kunden heruntergeladen werden.<\/p>\n
In den Medien hei\u00dft es, dass aber nichts passiert sei. Allerdings wird auch erw\u00e4hnt, dass diese Schwachstelle laut SBB im November 2020 geschlossen worden sei. Dem war aber definitiv nicht so. Am 9. Januar 2022 konnte der IT-Spezialist weiterhin die Daten von 500.000 Kunden abrufen. Damals informierte er die SBB. <\/p>\n
Erst als der friedly Hacker die SBB auf die abgezogenen Kundendaten hinwies und auch die Schweizer Medien informierte, ging die SBB zum 24. Januar 2022 an die \u00d6ffentlichkeit. Dort bem\u00fchte man sich den Fall klein zu halten – man habe die Schwachstelle unverz\u00fcglich beseitigt. <\/p>\n
Pleiten, Pech und Pannen<\/h2>\n
Beim Blick kann man noch mehr Details nachlesen. Trotz dem Patches zum November 2020 konnten andere \u00d6V-Anbieter ihre Kunden-Abos weiter \u00fcber den alten Zugangslink verl\u00e4ngern – die Schwachstelle war also weiterhin ausnutzbar. Diese M\u00f6glichkeit wurde erst im November 2021 durch Deaktivierung des alten Links bzw. des Verfahrens geschlossen. <\/p>\n
Im Hinblick auf Pleiten, Pech und Pannen stellte sich dann aber heraus, dass es wohl Probleme mit der neuen Methode gab. Blick schreibt: \"Weil die \u00d6V-Anbieter mit dem neuen Zugangslink Probleme hatten, die Abonnements ihrer Kunden auf einfache Weise zu erneuern, aktivierten die SBB den alten Zugang aber schon im Dezember 2021 wieder. Sprecher Reto H\u00fcgli wird von diesem Medium so zitiert: \"Der Schritt erfolgte mit der guten Absicht, ein relevantes Kundenproblem zu l\u00f6sen. Dabei wurden die Risiken falsch eingesch\u00e4tzt.\" <\/p>\n
Ich gehe davon aus, dass der IT-Experte dann von dieser \"Ma\u00dfnahme\" Kenntnis erhielt und dann Anfang Januar 2022 zuschlug und die Daten abfischte. Es gab dann schon einige Wellen, als das Ganze \u00f6ffentlich wurde. Die SBB erstatteten beim Eidgen\u00f6ssischen Datenschutz- und \u00d6ffentlichkeitsbeauftragten Meldung und leiteten eine interne Untersuchung ein. Unabh\u00e4ngige Experten sollten die Ursache des Fehlers eruieren.<\/p>\n
Fragen \u00fcber Fragen<\/h2>\n
An dieser Stelle bleiben bei mir einige Fragen offen: Wenn der Fehler kurzfristig behoben wurde, warum was das beim ersten Versuch im November 2020 nicht m\u00f6glich? Oder wurde der im Dezember 2021 wegen Problemen wieder aktivierte Revisionsstand lediglich deaktiviert, so dass es jetzt wieder zu Problemen mit der Abo-Verl\u00e4ngerung kommt? In dieser Frage geben die Medienberichte keine Auskunft und die SBB scheint das Ganze klein halten zu wollen. <\/p>\n
F\u00fcr mich war die SBB als Au\u00dfenstehender ein Ausbund an Solidit\u00e4t – \"die fahren immer, sogar durch Berge hindurch, mit Schweizer Pr\u00e4zision\". Wie dr\u00fcckt es Informatikprofessor Ueli Maurer von der ETH-Z\u00fcrich aus: \"Bei der UBS [Schweizer Bank] zum Beispiel gibt es zahlreiche Sicherheitsvorkehrungen mehr, weil es viel schlimmer w\u00e4re, wenn dort jemand zugreifen k\u00f6nnte. Die SBB [Bahn] dagegen haben als Priorit\u00e4t, dass die Z\u00fcge fahren. Bei Firmen, f\u00fcr die Datensicherheit nicht das Kernbusiness ist, gibt es meistens irgendwo eine Schw\u00e4che. Sie denken, dass sie so viel zus\u00e4tzlich investieren m\u00fcssten, um ihr System ein bisschen sicherer zu machen, sodass sie aus Kosten-Nutzen-\u00dcberlegungen oft davon absehen.\" Kommt mir aber auch aus Deutschland irgendwie bekannt vor. <\/p>\n","protected":false},"excerpt":{"rendered":"
Im Januar 2022 ist es einem IT-Experten gelungen, sich in ein Portal einzuhacken, und die Swisspass-Daten von Tausenden Kunden abzurufen. Insgesamt sollen ein halbe Million Reisende des Swisspass-Verbunds der Schweizer Bundesbahn (SBB) betroffen sein. Nun kommt heraus, dass diese Sicherheitsl\u00fccke … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-271775","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/271775","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=271775"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/271775\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=271775"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=271775"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=271775"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Im Januar 2022 ist es einem IT-Experten gelungen, sich in ein Portal einzuhacken, und die Swisspass-Daten von Tausenden Kunden abzurufen. Insgesamt sollen ein halbe Million Reisende des Swisspass-Verbunds der Schweizer Bundesbahn (SBB) betroffen sein. Nun kommt heraus, dass diese Sicherheitsl\u00fccke wohl \u00fcber l\u00e4ngere Zeit bestanden hat – ein Medium schreibt, dass die Kundendaten jahrelang frei im Netz verf\u00fcgbar waren. Ein genauer Blick zeigt eine dumme Verkettung von Handlungen – da wurde gepatcht, und dann alte Methoden beibehalten sowie der Patch wegen Problemen wieder zur\u00fcckgenommen. Hier einige Informationen zum Thema. <\/p>\n