4482 Personen betroffen : Datenpanne beim HVV: persönliche Kunden-Daten waren einsehbar

Die HVV-Card gilt als Herzstück der Digitalisierung im ÖPNV der Metropolregion und soll an alle 800.000 Zeitkarteninhaber ausgegeben werden.

Die HVV-Card gilt als Herzstück der Digitalisierung im ÖPNV der Metropolregion und soll an alle 800.000 Zeitkarteninhaber ausgegeben werden.

Zugänglich waren aufgrund der Sicherheitslücke unter anderem Namen, Adressen und Bankverbindungen.

von
30. Juli 2018, 20:06 Uhr

Hamburg | Beim Hamburger Verkehrsverbund (HVV) ist es zu einer Datenpanne mit der neuen elektronischen HVV-Card gekommen. Wie eine Sprecherin bestätigte, konnten zwischen Anfang Februar und Anfang Juli dieses Jahres einige Nutzer der elektronischen Karte persönliche Daten anderer Kunden einsehen.

Zugänglich waren aufgrund der Sicherheitslücke Namen, Adressen, Bankverbindungen sowie  Auflistungen von gekauften Fahrkarten und Abrechnungen. HVV-Sprecherin Silke Seibel: „Die Sicherheitslücke ist inzwischen geschlossen. Wir entschuldigen uns bei den Betroffenen.“

Nach ihren Angaben betraf das Datenleck solche Inhaber der HVV-Card, die zusätzlich die Möglichkeit zum Kauf von Einzel, Tages- und Ergänzungstickets gewählt haben. Dabei handele es sich um lediglich zwei Prozent der HVV-Card-Nutzer, konkret 4482 Personen. Bei 2214 von ihnen seien auch die Kontonummern einsehbar gewesen.

Unklar ist, ob es zum Missbrauch der Daten kam

Theoretisch hätten etwa 2100 Besitzer von HVV-Cards Einblick nehmen können, die den Online-Zugriff auf ihre Kundendaten gewählt und diesen aktiv genutzt haben. Ob es tatsächlich zum Missbrauch persönlicher Daten gekommen ist, vermochte die Sprecherin nicht zu sagen. Diesen bezeichnet der HVV in einem Schreiben an die betroffenen Karteninhaber als „sehr unwahrscheinlich“, rät diesen aber, ihren Mein-HVV-Kunden-Account und Bankauszüge auf verdächtige Transaktionen zu prüfen. In dem Brief entschuldigt sich der Verkehrsverbund bei den Betroffenen und hat ihnen einen Gutschein für eine Alsterrundfahrt beigelegt.

Auslöser der Sicherheitslücke war laut HVV ein Software-Update, der zu einer unbeabsichtigten Zugriffsmöglichkeit über die URL-Adresse geführt habe. Den Angaben zufolge hatte ein Kunde die Lücke entdeckt und den Verkehrsverbund informiert. Daraufhin sei die Schwachstelle „sofort“ am 5. Juli geschlossen worden. Seit dem 9. Juli ist der Zugriff auf das System wieder freigegeben. Laut Seibel nimmt der HVV den Vorfall zum Anlass, das Sicherheitskonzept weiter zu verbessern. „Datenschutz steht für uns an oberster Stelle.“

Datenschützer stuft Vorfall als „nicht besonders schwerwiegend“ ein

Hamburgs Datenschutzbeauftragter Johannes Caspar wertete die Panne als „eine Art Warnschuss“ für den HVV. Dieser sei dabei, seine Kommunikation mit den Kunden weitreichend zu digitalisieren und müsse entsprechende Vorkehrungen für den Datenschutz treffen. „Das ist in diesem Fall nicht optimal gelungen.“ Den Vorfall stufte er indes als „nicht besonders schwerwiegend“ ein, gleichwohl sei über die Konsequenzen noch zu entscheiden.

Zugleich sieht Caspar den Umgang mit dem aktuellen Sicherheitsleck als Bestätigung für die Notwendigkeit der seit Mai geltenden Datenschutzgrundverordnung. Diese verpflichtet Unternehmen und Institutionen bei Sicherheitslücken zu mehr und schnellerer Transparenz gegenüber Betroffenen. Caspar: „Datenschützer können nun deutlich mehr Druck ausüben.“ 

Die HVV-Card gilt als Herzstück der Digitalisierung im ÖPNV der Metropolregion und soll an alle 800.000 Zeitkarteninhaber ausgegeben werden. Nach mehreren Verzögerungen sind bisher 150.000 der E-Karten im Umlauf.

zur Startseite

Diskutieren Sie mit.

Leserkommentare anzeigen