Er kaufte beim Augsburger Verkehrsbund (AVV) Anfang September eine Schülermonatskarte für seine Tochter. Und nicht einmal eine Stunde später erhielt der Familienvater aus dem Raum Augsburg einen Anruf. Ein Fremder erklärte ihm, er wisse, dass er soeben beim AVV eine Karte gekauft habe, es gebe bei dem Verkehrsbund eine Datenlücke. Er solle doch beim AVV darauf hinwirken, dass diese Lücke geschlossen werde. Der Anruf war kein Scherzanruf: Hacker haben offenbar eine Sicherheitslücke auf der Internetseite des Augsburger Verkehrs- und Tarifverbunds AVV aufgedeckt, durch die sie sich Zugang zu Zehntausenden sensiblen Kundendaten verschaffen konnten.
Betroffen sind Tausende Fahrgäste in der Region, die Busse und Straßenbahnen im Bereich des AVV nutzen und beim Verkehrsverbund eine Zeitkarte gekauft oder ein Abo abgeschlossen haben. Nach Auskunft der Hacker erlaubte die Sicherheitslücke den Zugriff auf "sämtliche Kundendaten". Sie sprechen selbst von rund 150.000 Datensätzen aus der Kundendatenbank, die bis in die 1990er-Jahre zurückreichten. Man wolle durch die Veröffentlichung der Schwachstelle erreichen, dass die Lücke geschlossen werde, sagen die Hacker. Der AVV verweist auf Anfrage unserer Redaktion darauf, den Fall der Kriminalpolizei gemeldet sowie die Sicherheitsstandards erhöht zu haben - und sie auch noch weiter erhöhen zu wollen.
Kundendaten beim AVV: Namen, Adressen, Telefonnummern
Im Datenleck, das unsere Redaktion teils einsehen konnte, befinden sich neben den Namen der AVV-Kunden vielfach auch private Daten, wie Adressen, Geburtstage sowie Festnetz- und Mobilfunknummern. Darunter die Daten von Angehörigen kritischer Berufsgruppen, die ihre Adresse oftmals nicht gerne öffentlich machen wollen – etwa von Polizisten. Betroffen sind aber auch Schüler, die eine Schülermonatskarte erworben haben. Der Augsburger Verkehrsverbund wird von der Stadt Augsburg sowie den Kreisen Augsburg, Aichach-Friedberg und Dillingen getragen. Aufsichtsratschef ist aktuell Landrat Martin Sailer (CSU). Zuletzt wurden im Gebiet des AVV rund 78 Millionen Fahrgäste pro Jahr befördert.
Nach Angaben der Hackergruppe, die sich "LeaksDev" nennt, sei die Sicherheitslücke durch Zufall entdeckt worden. Demnach könnten sich auch Menschen, die keine IT-Experten seien, mit ein wenig Internetrecherche Zugriff zu der Datenbank und somit auch auf die Kundendaten verschaffen. Die anonymen Hacker werfen dem AVV schwere Versäumnisse in Sachen der Datensicherheit vor. Es sollten etwa, sagen sie, nicht sämtliche Zugriffsmöglichkeiten des Kundenservices über das Internet erreichbar sein, sondern nur intern in einem Firmennetzwerk. Bankdaten sind durch das Datenleck offenbar nicht abgeflossen. Nahverkehrskunden, die ihre Karten nicht beim AVV, sondern bei den Augsburger Stadtwerken erworben haben, sind offensichtlich nicht betroffen.
Datenlücke im Nahverkehr: Was treibt die Hacker an?
Die Hackergruppe gibt an, aus deutschsprachigen IT-Spezialisten zu bestehen, und bezeichnet sich als „Greyhat“-Gruppe – eine Bezeichnung aus der Hackerszene. Sogenannte Whitehat-Hacker haben das Ziel, sich innerhalb der Gesetze zu bewegen und Sicherheitslücken aufzudecken, damit Unternehmen sie schließen können, ehe sich Menschen mit kriminellen Absichten ihrer bedienen. Es gibt sogar Unternehmen, die IT-Spezialisten dieser Art anstellen und online entsprechende Stellenanzeigen schalten. Greyhat-Hacker operieren hingegen in einem Graubereich und überschreiten teils juristische Grenzen, nutzen ihren Zugang zu Datenbanken und sensiblen Informationen aber offenbar vielfach nicht zur persönlichen Bereicherung.
Ein Mitglied der Gruppe sagte unserer Redaktion, man versuche, Schäden bei Privatpersonen zu vermeiden, und distanziere sich von betrügerischen Aktivitäten. Überprüfen lassen sich viele dieser Informationen nicht, ebenso wenig, ob es sich um einen oder mehrere Hacker handelt, die hinter der Aktion stecken. Dass Hacker in Datenbanken von Unternehmen oder Organisationen eindringen, um auf Schwachstellen hinzuweisen, kommt öfter vor. Zuletzt erregte etwa der Chaos Computer Club aufsehen, der mehrere Schwachstellen in einem Cloudsystem für gastronomische Betriebe entdeckte. Demnach seien in Corona-Listen und Reservierungen Millionen sensible Datensätze einsehbar gewesen. Vor der Veröffentlichung kontaktierte der CCC die Softwarefirma, damit diese die Lücken schließen konnte.
So schützt man sich vor Hackern
Updaten: Sorgen Sie dafür, dass Ihre Computerprogramme stets auf dem neuesten Stand sind. So werden programmimmanente Sicherheitslücken vom Hersteller geschlossen, sodass Sie besser gegen automatisierte Angriffe geschützt sind.
Nachdenken: Schalten Sie Ihren Verstand ein. Überlegen Sie, welche Apps sie wo kaufen und ob der Anbieter vertrauenswürdig ist. Klicken Sie nicht einfach Anhänge in Mails oder Links an. Geben Sie per Mail niemals Passwörter heraus.
Passwort: Verwenden Sie sichere Passwörter (Kombination aus Zahlen, Groß- und Kleinbuchstaben und Sonderzeichen) und niemals dasselbe Passwort für verschiedene Accounts. Das senkt das Risiko für einen automatisierten Angriff. Schreiben Sie Passwörter nicht auf.
WLAN: Schicken Sie keine vertraulichen Daten über öffentliche, ungesicherte WLAN-Zugänge. Im WLAN-Modus ist ein Handy einfacher zu hacken.
Sichern: Wichtige Daten auf externen Festplatten sichern, die von einem Ransomware-Angriff, der Festplatten verschlüsselt, nicht tangiert sind. So sparen Sie sich eine womöglich drohende Lösegeldzahlung.
Die Gruppe "LeaksDev" gibt an, den AVV nach Entdeckung der Sicherheitslücke darauf hingewiesen zu haben, eine Reaktion sei aber nicht erfolgt. Nach Informationen unserer Zeitung machten die Hacker deshalb auch mehrere betroffene Kunden auf die Schwachstelle aufmerksam, die ihrerseits teils den Verkehrsverbund kontaktierten. Die Polizei teilt auf Anfrage mit, die Kriminalpolizei in Augsburg und das Landeskriminalamt ermittelten in dem Fall. Weitere Auskünfte könne man derzeit nicht geben.
Das könnte Sie auch interessieren:
- Der AVV verzichtet auf die nächste Preiserhöhung im Nahverkehr
- Ablaufdatum September? Alte Streifenkarten bleiben wohl länger gültig
- Olympia-Teilnehmerin Linda Kisabaka führt künftig den AVV