Datenleck: Eurail warnt Bahnkunden

Von Thomas Wüpper

Der Interrail-Anbieter Eurail B.V. warnt Kunden eindringlich vor möglichem Missbrauch ihrer Daten. Demnach gab es ein erhebliches Datenleck und eine unbefugte Person konnte auf die Kundendatenbank zugreifen. Ermittlungen laufen, die Datenschutzbehörde wurde informiert. Kunden sollten ihre Passwörter ändern, werden vor möglichem Betrug mit ihren Pass- und Kontodaten sowie verdächtigen Telefonanrufen gewarnt und sollen ihre Bankkonten sorgfältig überwachen.

Mehr als eine Million Kunden

Eurail mit Sitz im niederländischen Utrecht organisiert seit Jahrzehnten den Interrail-Vertrieb, ein großer Partner ist die Deutsche Bahn AG. Die Pauschaltickets werden von 35 europäischen Bahn- und Fährunternehmen anerkannt. Die Pässe ermöglichen Reisen durch bis zu 33 Länder, sind rein digital mit der App Rail Planner auf dem Smartphone bequem einsetzbar und werden jährlich von mehr als einer Million Menschen genutzt. Entsprechend groß ist die Zahl potenziell Betroffener, das Unternehmen nennt bislang jedoch keine genaue Größenordnung.

Nach bisherigem Kenntnisstand konnten die Angreifer auf Bestell- und Reservierungsinformationen sowie auf Identitäts- und Kontaktdaten zugreifen. Dazu zählen Vor- und Nachname, Geburtsdatum, Geschlecht, E-Mail-Adresse, Anschrift und Telefonnummer. Zudem könnten – sofern von Kunden angegeben – Pass- oder Ausweisnummer, Ausstellungsland und Ablaufdatum betroffen sein.

Kopien von Ausweisdokumenten speichert Eurail nach eigenen Angaben bei regulären Interrail- und Eurail-Käufen nicht. Eine Ausnahme gilt jedoch für Teilnehmer des EU-Programms „DiscoverEU“, über das junge Menschen kostenlose Interrail-Pässe erhalten. In diesen Fällen könnten laut einer gesonderten Mitteilung auch Ausweiskopien, Bankverbindungen (IBAN) sowie weitere sensible Angaben betroffen sein. Wie viele Discover-EU-Nutzer betroffen sind, ist bislang unklar.

Eurail macht weder Angaben zum genauen Zeitpunkt des Angriffs noch zur Art der Sicherheitslücke. Man gehe derzeit von einem einzelnen Täter aus. Unmittelbar nach Entdeckung des Vorfalls seien die Systeme gesichert, Zugänge überprüft und zusätzliche Schutzmaßnahmen eingeführt worden. Zudem arbeitet das Unternehmen mit externen IT-Sicherheits- und Forensik-Experten zusammen, um den Umfang des Datenabflusses zu klären. Der Vorfall wurde gemäß den Vorgaben der Datenschutz-Grundverordnung der niederländischen Aufsichtsbehörde gemeldet, weitere Behörden sollen folgen. Ein erster allgemeiner Warnhinweis auf der Homepage von Eurail ist auf den 10. Januar datiert. Inzwischen erhalten möglicherweise betroffene Kunden auch persönliche Mails mit Warnungen, darunter auch der Autor dieser Zeilen. Nach Angaben von Eurail gibt es bislang keine Hinweise darauf, dass die Daten missbraucht oder öffentlich verbreitet wurden.

Phishing-Angriffe möglich

Gleichwohl mahnt das Unternehmen zur Vorsicht. Mit den erlangten Informationen könnten Betrüger gezielt Phishing-Angriffe starten oder Identitätsdiebstahl vorbereiten. Kunden werden daher aufgefordert, besonders wachsam gegenüber verdächtigen E-Mails, Anrufen oder Kurznachrichten zu sein und Passwörter – etwa für die Rail-Planner-App sowie für E-Mail- oder Bankkonten – vorsorglich zu ändern.

Der Vorfall reiht sich ein in eine Serie von Angriffen auf Verkehrs- und Ticketplattformen. Pauschal- und Monatstickets gelten als lukrative Ziele für Kriminelle, da sie sich relativ einfach weiterverkaufen oder zur Täuschung nutzen lassen. Besonders Ausweisdaten sind begehrt und werden im kriminellen Milieu vielfach gehandelt. Auch beim Deutschlandticket gab es bereits massiven Missbrauch, gefälschte Fahrkarten werden von Betrügern über dunkle Kanäle im Internet angeboten. Der Schaden für Verkehrsunternehmen wird auf mehrere hundert Millionen Euro geschätzt.

Für Eurail kommt das Datenleck zu einem sensiblen Zeitpunkt. Interrail erlebt nach dem pandemiebedingten Einbruch wieder stabile Verkaufszahlen und spricht zunehmend auch Familien und ältere Reisende an. Der aktuelle Sicherheitsvorfall stellt das Vertrauen vieler Kunden auf die Probe. Eurail kündigte an, über weitere Erkenntnisse zu informieren, sobald die laufenden Untersuchungen abgeschlossen sind.