Sicherheitslücke bei Kundenportal von Postauto entdeckt

Beim Postauto-Kundenportal ticketcontrol.ch ist gemäss einem Bericht von SRF eine Sicherheitslücke entdeckt worden. Dokumente von Kundinnen und Kunden nach einer Ticketkontrolle waren demnach im Internet zugreifbar und konnten heruntergeladen werden. Gemäss der Webseiten-Betreiberin Postauto konnte das Leck unterdessen behoben werden.

«Wir wurden von SRF darauf hingewiesen, dass eine externe IT-Sicherheitsfirma SRF auf den Fall aufmerksam gemacht hat», teilte Postauto der Nachrichtenagentur Keystone-SDA auf Anfrage mit. 

Die Sicherheitslücke habe dazu geführt, dass Daten ungeschützt in einem Zwischenspeicher landeten und dort nicht wie vorgesehen automatisch gelöscht wurden, so Postauto. «Wir bedauern die Sicherheitslücke sehr, Datenschutz hat bei uns höchste Priorität.»

Bei ticketcontrol.ch handelt es sich um eine Plattform für Kundinnen und Kunden von Postauto, die nach einer Ticketkontrolle Fragen an die Inkassostelle von Postauto richten, eine Fristverlängerung beantragen oder nachträglich ein Ticket vorweisen wollen, das sie bei der Kontrolle nicht dabeihatten. Die Sicherheitslücke betraf das Kontaktformular auf der Internetseite. 

Postauto geht davon aus, dass in der Zeit zwischen Mai 2021 und Januar dieses Jahres 1776 Daten ungeschützt waren. Ob Daten missbräuchlich abgezogen wurden, wird aktuell noch untersucht. Die ersten Analysen hätten gezeigt, dass es 745 Zugriffe auf die Daten gab, teilte Postauto mit. Dabei habe es sich um automatisierte Zugriffe hauptsächlich von zwei IT-Sicherheitsfirmen gehandelt. 

Der Fehler sei nach dem Hinweis von SRF umgehend behoben worden. «Wir bedauern den Vorfall sehr und sind nun daran, die Lehren daraus zu ziehen, damit ein solcher Fehler nicht wieder vorkommt», so Postauto. Aus dem Bericht der Datenschutzverantwortlichen von Postauto geht hervor, dass der Vorfall einerseits auf mangelnde technische Vorkehrungen und andererseits auf eine ungenügende Datenpflege zurückgeht. 

Adrian Lobsiger, Eidgenössischer Datenschutz und Öffentlichkeitsbeauftragter (EDÖB), beurteilt den Fall als «ernst». Zwar sei das Schwarzfahrerregister selbst nicht unmittelbar zugänglich gewesen, Personendaten mit Bezug zu Schwarzfahrten erwiesen jedoch einen erhöhten Schutzbedarf auf.

«Dass der Zugang ohne hohe Fachkunde möglich war, zeigt, dass die betroffenen Daten nicht in dem vom Datenschutzgesetz verlangten Mass geschützt waren», teilte Lobsiger mit. 

Der Vorfall reiht sich ein in eine Serie von in letzter Zeit bekannt gewordener Datenschutzprobleme. Erst Anfang dieser Woche ist ein Datenleck in der zentralen ÖV-Ticket-Verkaufsplattform bekannt geworden. Einem externen IT-Spezialisten ist es gelungen, innerhalb weniger Tage rund eine Million Datensätze abzufragen. Die geleakten Datensätze enthielten Informationen über gekaufte Billetts und/oder die Gültigkeitsdauer von Abonnements.

Und vergangene Woche hat der Eidgenössische Datenschutzbeauftragte ein formelles Verfahren eröffnet wegen Zweifeln an der Sicherheit der Einträge im nationalen digitalen Organspende-Register der Stiftung Swisstransplant. Laut einer Recherche der Sendung «Kassensturz» von Fernsehen SRF soll es demnach möglich gewesen sein, eine Person ohne deren Wissen zum Organspender zu machen. 

Für Adrian Lobsiger zeigt die steigende Anzahl solcher Vorfälle, dass die Betreiber mehr Ressourcen für einen sicheren Betrieb aufbringen müssen. «Gerade bei Systemen mit erhöhtem Risiko für die Betroffenen sollten regelmässige, externe Audits durchgeführt werden», teilte er mit.