So funktioniert die Sicherheitslücke bei ticketcontrol.ch
0:39
IT-Experte erklärts:So funktioniert die Sicherheitslücke bei ticketcontrol.ch

Daten einfach abrufbar
Sicherheitslücke im Schweizer Schwarzfahrer-Register

Schwarzfahrer werden in der Schweiz in einem speziellen Register dokumentiert. Heikle Daten, die allerdings nicht ausreichend geschützt sind.
Publiziert: 26.01.2022 um 13:28 Uhr
Bei Ticketcontrol.ch, dem Kundenportal des Schwarzfahrer-Registers, gab es eine gravierende Sicherheitslücke.
Foto: Screenshot
1/4

Schwarzfahrer werden nicht nur gebüsst, sie landen für zwei Jahre auf einer Liste. Konkret: im nationalen Schwarzfahrer-Register. Damit sollen notorische Billettverweigerer ausfindig gemacht werden. Sensible Daten also.

Doch ausgerechnet diese Informationen sind nicht ausreichend geschützt. Das Problem: Ticketcontrol.ch, das Kundenportal des Schwarzfahrer-Registers. Mit Hilfe von Ticketcontrol.ch können Reisende zum Beispiel nachträglich nachweisen, dass sie sehr wohl über ein Halbtax-Abo oder GA verfügen.

Pro Jahr werden laut Ticketcontrol.ch rund 800'000 Schwarzfahr-Fälle registriert. Und diese Daten sind gefährdet. «Ticketcontrol.ch hat einen technischen Mangel, der es einem Angreifer aus dem Internet erlaubt, Dokumente von Schwarzfahrerinnen und Schwarzfahrern einzusehen und herunterzuladen», sagt IT-Experte Sven Fassbender zum SRF.

«Postauto legt grossen Wert auf den Datenschutz»

Und dafür bräuchte es nicht mal grosses Computerkenntnisse. Der IT-Experte: «Jede Person kann ganz simpel von zu Hause mit seinem Browser auf Dokumente zugreifen.»

Mit ein paar Klicks könnten so Dritte an unangenehme Informationen kommen und diese gegen den Schwarzfahrer verwenden. Sehr zur Sorge von Fassbender. «Wenn man sich vorstellt, dass solche Daten vielleicht in die Hände von Strafverfolgungsbehörden gelangen oder an den Arbeitgeber, dann ist das vielleicht auch nicht so gewollt». Umso dringender müsste die Schwachstelle behoben werden.

Das Portal wird von Postauto betrieben. Inzwischen sei die IT-Lücke behoben worden und die betroffenen 1776 Datensätze gelöscht. «Postauto legt grossen Wert auf den Datenschutz. In diesem Fall waren Daten nicht ausreichend geschützt, was nicht unseren internen Vorgaben entspricht. Wir bedauern diesen Fehler sehr und entschuldigen uns bei den Kundinnen und Kunden, deren Daten wir nicht ausreichend geschützt haben», teilt das Unternehmen auf Anfrage vom SRF mit.

Informationen über gekaufte Billette und Abos

Erst diese Woche sorgte eine Panne bei der SBB für Schlagzeile. Wegen eines Lecks in der Ticket-Verkaufsplattform für den öffentlichen Verkehr ist rund eine Million Datensätze abgeflossen. SBB und Alliance Swisspass räumen in einer Mitteilung einen Fehler ein. Den Kunden sei kein Schaden entstanden.

Betroffen ist die zentrale Vertriebsplattform Nova (Netzweite ÖV-Anbindung). Betrieben wird sie von den SBB im Auftrag der Alliance Swisspass. In der Datenbank werden Billett- und Abo-Informationen gespeichert. Mit ihr verknüpft sind der Webshop der SBB und Verkaufsplattformen von weiteren ÖV-Betrieben.

Die geleakten Datensätze enthielten Informationen über gekaufte Billetts und/oder die Gültigkeitsdauer von Abonnements. Rund die Hälfte der Datensätze war ausschliesslich verknüpft mit Namen, Vornamen und Geburtsdaten von Kunden. Keine Angaben flossen zu Wohnort, Zahlungsmitteln, Passwörtern und E-Mail-Adressen ab. Die andere Hälfte der Datensätze enthielt unpersönliche Angaben zu an Automaten gekauften Billetts.

Laut SBB und Alliance Swisspass können nun keine Daten mehr unbefugt von der Ticket-Verkaufsplattform abgefragt werden. Laut SBB-Sprecher Schärli wurden auch keine weiteren Datenabflüsse festgestellt. (jmh/SDA)

Fehler gefunden? Jetzt melden
Was sagst du dazu?