Wer im ÖV bei einer Kontrolle kein gültiges Ticket vorweisen kann, erhält eine Busse. Aber nicht nur das. Die Person wird für mindestens zwei Jahre im Nationalen Schwarzfahrer-Register eingetragen. Das Register will notorische Schwarzfahrer schneller identifizieren. Gemäss «ticketcontrol.ch» werden jährlich rund 800'000 solche Fälle registriert.
Sicherheitslücke auf «ticketcontrol.ch»
Doch genau dieses Web-Kundenportal weist grosse IT-Sicherheitsprobleme auf, sagt Sven Fassbender, Berater für Informationssicherheit: «Ticketcontrol.ch hat einen technischen Mangel, der es einem Angreifer aus dem Internet erlaubt, Dokumente von Schwarzfahrerinnen und Schwarzfahrern einzusehen und herunterzuladen».
Eine Schwachstelle, die fast jeder ohne Fachwissen ausnützen und missbrauchen könne, sagt der IT-Experte. Wenn ein Angreifer so viele Informationen über eine Person habe, so könne er sehr gezielte Angriffe gegen diese Person fahren: «Wenn man sich vorstellt, dass solche Daten vielleicht in die Hände von Strafverfolgungsbehörden gelangen oder an den Arbeitgeber, dann ist das vielleicht auch nicht so gewollt».
Jede Person kann ganz simpel von Zuhause mit seinem Browser auf Dokumente zugreifen.
Der IT-Experte fordert deshalb, dass in allererster Linie die Betroffenen informiert werden müssen und: «Diese Schwachstelle muss so rasch als möglich geschlossen werden».
Verstoss gegen das Datenschutzgesetz
Derselben Meinung ist auch Kerstin Vokinger, Professorin für Öffentliches Recht und Digitalisierung an der Universität Zürich. Der Betreiber müsse sicherstellen, dass Daten und Dokumente ab Beginn des Hochladens zu jedem Zeitpunkt geschützt seien.
«Es handelt sich hier um Personendaten und es besteht ein Missbrauchspotential.» Entsprechend sei es wichtig, dass man genügend hohe Ansprüche an die Datensicherheit stelle, was in diesem Fall nicht gegeben sei.
Betreiberin Postauto reagiert
Aufgrund des Hinweises von SRF Investigativ habe Postauto als Betreiberin des Portals sofort die erkannte Schwachstelle behoben und die nach eigenen Aussagen die 1776 zu wenig geschützten Datensätze gelöscht. «Postauto legt grossen Wert auf den Datenschutz. In diesem Fall waren Daten nicht ausreichend geschützt, was nicht unseren internen Vorgaben entspricht. Wir bedauern diesen Fehler sehr und entschuldigen uns bei den Kundinnen und Kunden, deren Daten wir nicht ausreichend geschützt haben. Wir bedanken uns für den wertvollen Hinweis von SRF.»
Sicherheitslücke geschlossen
Auch der Eidgenössische Datenschutzbeauftragte EDÖB, Adrian Lobsiger überprüft die Sicherheitslücke derzeit und will abklären, ob «weitergehende Mängel systemischer Natur» bestehen. Postauto habe ihn zeitnah über den Stand der Abklärungen und den daraus resultierenden Massnahmen informiert. «Der EDÖB hält mit der Datenschutzbeauftragten der Post Kontakt, bis alle Massnahmen zur Analyse und Bewältigung des Vorfalls abgeschlossen sind.»
Die Betreiber müssen mehr Ressourcen für einen sicheren Betrieb aufbringen.
Der oberste Datenschützer der Schweiz zeigt sich grundsätzlich besorgt: «Allgemein zeigt die steigende Anzahl von erfolgreichen Angriffen auf IT-Systeme, dass die Betreiber mehr Ressourcen für einen sicheren Betrieb aufbringen müssen. Gerade bei Systemen mit erhöhtem Risiko für die Betroffenen sollten regelmässige, externe Audits durchgeführt werden».
