Zum Inhalt springen
Audio
Daten-Leck beim Schwarzfahrer-Register
Aus Rendez-vous vom 26.01.2022. Bild: Keystone
abspielen. Laufzeit 4 Minuten 34 Sekunden.

ticketcontrol.ch Sicherheitslücke im Kundenportal des Schwarzfahrer-Registers

Auf «ticketcontrol.ch» konnten Daten von ÖV-Kunden heruntergeladen werden. Das zeigen Recherchen von SRF Investigativ.

Wer im ÖV bei einer Kontrolle kein gültiges Ticket vorweisen kann, erhält eine Busse. Aber nicht nur das. Die Person wird für mindestens zwei Jahre im Nationalen Schwarzfahrer-Register eingetragen. Das Register will notorische Schwarzfahrer schneller identifizieren. Gemäss «ticketcontrol.ch» werden jährlich rund 800'000 solche Fälle registriert.

So funktioniert Ticketcontrol

Box aufklappen Box zuklappen

Auf «ticketcontrol.ch» können ÖV-Kunden auch Dokumente hochladen. Wer zum Beispiel bei einer Kontrolle sein gültiges Halbtax-Abo oder GA nicht vorweisen kann, erhält die Aufforderung innerhalb von 10 Tagen sein Abo vorzuweisen. Entweder an einem Schalter oder online auf «ticketcontrol.ch».

Das Kundenportal des Schwarzfahrer-Registers.
Legende: Das Kundenportal des Schwarzfahrer-Registers. SRF

Sicherheitslücke auf «ticketcontrol.ch»

Doch genau dieses Web-Kundenportal weist grosse IT-Sicherheitsprobleme auf, sagt Sven Fassbender, Berater für Informationssicherheit: «Ticketcontrol.ch hat einen technischen Mangel, der es einem Angreifer aus dem Internet erlaubt, Dokumente von Schwarzfahrerinnen und Schwarzfahrern einzusehen und herunterzuladen».

Video
IT-Experte Fassbender erklärt die Sicherheitslücke
Aus News-Clip vom 26.01.2022.
abspielen. Laufzeit 40 Sekunden.

Eine Schwachstelle, die fast jeder ohne Fachwissen ausnützen und missbrauchen könne, sagt der IT-Experte. Wenn ein Angreifer so viele Informationen über eine Person habe, so könne er sehr gezielte Angriffe gegen diese Person fahren: «Wenn man sich vorstellt, dass solche Daten vielleicht in die Hände von Strafverfolgungsbehörden gelangen oder an den Arbeitgeber, dann ist das vielleicht auch nicht so gewollt».

Jede Person kann ganz simpel von Zuhause mit seinem Browser auf Dokumente zugreifen.
Autor: Sven Fassbender Berater für Informationssicherheit

Der IT-Experte fordert deshalb, dass in allererster Linie die Betroffenen informiert werden müssen und: «Diese Schwachstelle muss so rasch als möglich geschlossen werden».

Verstoss gegen das Datenschutzgesetz

Derselben Meinung ist auch Kerstin Vokinger, Professorin für Öffentliches Recht und Digitalisierung an der Universität Zürich. Der Betreiber müsse sicherstellen, dass Daten und Dokumente ab Beginn des Hochladens zu jedem Zeitpunkt geschützt seien.

Video
Vokinger: «Der Datenschutz ist hier nicht gegeben»
Aus News-Clip vom 26.01.2022.
abspielen. Laufzeit 25 Sekunden.

«Es handelt sich hier um Personendaten und es besteht ein Missbrauchspotential.» Entsprechend sei es wichtig, dass man genügend hohe Ansprüche an die Datensicherheit stelle, was in diesem Fall nicht gegeben sei.

Sensible Daten betroffen

Box aufklappen Box zuklappen

Um das Schadensausmass zu bestimmen hat SRF Investigativ einige Dokumente auf «Ticketcontrol.ch» gesichtet, unter anderem Fotos von Bussen, Abonnementen oder Identitätskarten von Schwarzfahrern. Aber nicht nur das. SRF Investigativ sichtete beispielsweise auch eine Spitalakte und ein Dokument der Kindes- und Erwachsenenschutzbehörde KESB. Viele dieser Dokumente seien nicht nötig, sagt Professorin Kerstin Vokinger. Es gelte der Grundsatz der Datensparsamkeit. «Man soll nicht mehr Daten sammeln als notwendig sind. Hier werden gewisse Informationen gesammelt, die wirklich nicht notwendig sind, um den Zweck von Ticketcontrol.ch zu erfüllen».

Betreiberin Postauto reagiert

Aufgrund des Hinweises von SRF Investigativ habe Postauto als Betreiberin des Portals sofort die erkannte Schwachstelle behoben und die nach eigenen Aussagen die 1776 zu wenig geschützten Datensätze gelöscht. «Postauto legt grossen Wert auf den Datenschutz. In diesem Fall waren Daten nicht ausreichend geschützt, was nicht unseren internen Vorgaben entspricht. Wir bedauern diesen Fehler sehr und entschuldigen uns bei den Kundinnen und Kunden, deren Daten wir nicht ausreichend geschützt haben. Wir bedanken uns für den wertvollen Hinweis von SRF.»

Video
Postauto-Mediensprecher Bloch: «Der Fehler ist korrigiert»
Aus News-Clip vom 26.01.2022.
abspielen. Laufzeit 24 Sekunden.

Sicherheitslücke geschlossen

Auch der Eidgenössische Datenschutzbeauftragte EDÖB, Adrian Lobsiger überprüft die Sicherheitslücke derzeit und will abklären, ob «weitergehende Mängel systemischer Natur» bestehen. Postauto habe ihn zeitnah über den Stand der Abklärungen und den daraus resultierenden Massnahmen informiert. «Der EDÖB hält mit der Datenschutzbeauftragten der Post Kontakt, bis alle Massnahmen zur Analyse und Bewältigung des Vorfalls abgeschlossen sind.»

Die Betreiber müssen mehr Ressourcen für einen sicheren Betrieb aufbringen.
Autor: Adrian Lobsiger Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB

Der oberste Datenschützer der Schweiz zeigt sich grundsätzlich besorgt: «Allgemein zeigt die steigende Anzahl von erfolgreichen Angriffen auf IT-Systeme, dass die Betreiber mehr Ressourcen für einen sicheren Betrieb aufbringen müssen. Gerade bei Systemen mit erhöhtem Risiko für die Betroffenen sollten regelmässige, externe Audits durchgeführt werden».

SRF Impact

Box aufklappen Box zuklappen

Diskutiere mit auf dem Youtube-Kanal von SRF Impact.
Alle Folgen findest du auch auf Play SRF.

Rendez-vous, 26.01.2022, 12:30 Uhr

Jederzeit top informiert!
Erhalten Sie alle News-Highlights direkt per Browser-Push und bleiben Sie immer auf dem Laufenden.
Schliessen

Jederzeit top informiert!

Erhalten Sie alle News-Highlights direkt per Browser-Push und bleiben Sie immer auf dem Laufenden. Mehr

Push-Benachrichtigungen sind kurze Hinweise auf Ihrem Bildschirm mit den wichtigsten Nachrichten - unabhängig davon, ob srf.ch gerade geöffnet ist oder nicht. Klicken Sie auf einen der Hinweise, so gelangen Sie zum entsprechenden Artikel. Sie können diese Mitteilungen jederzeit wieder deaktivieren. Weniger

Sie haben diesen Hinweis zur Aktivierung von Browser-Push-Mitteilungen bereits mehrfach ausgeblendet. Wollen Sie diesen Hinweis permanent ausblenden oder in einigen Wochen nochmals daran erinnert werden?

Meistgelesene Artikel