Für die, die keine Zeit haben: SwissPass-Konten wurden gehackt – jetzt folgt die Reaktion: Eine neue Sicherheitsmassnahme soll Identitätsdiebstahl erschweren. Ein kleiner Schritt mit grossem Effekt.
SwissPass-Konten gehackt – und was jetzt?
Viele von euch erinnern sich vielleicht noch an unseren Beitrag auf cybersofa.ch, in dem wir über den Missbrauch von SwissPass-Konten berichtet haben. Damals wurden durch sogenannte „Credential Stuffing“-Angriffe Kundendaten missbraucht, um massenhaft ÖV-Billette zu kaufen. Die Branche stand unter Zugzwang – und nun reagiert sie endlich mit einer zusätzlichen Sicherheitsmassnahme.
Was ist neu beim SwissPass?
Die ÖV-Branche – darunter SBB, Alliance SwissPass und zahlreiche Transportunternehmen – hat eine neue Funktion eingeführt: Künftig wird bei der Online-Bestellung von Billette zusätzlich geprüft, ob die genutzte SwissPass-Identität auch wirklich mit dem SwissPass-Login übereinstimmt. Das heisst: Ein Login allein reicht nicht mehr, die Identität muss zusätzlich bestätigt werden.
Ziel dieser neuen SwissPass Sicherheitsmassnahme ist es, automatisierte Angriffe, wie sie bei Credential Stuffing üblich sind, deutlich schwieriger zu machen.
Warum war das nötig?
Beim Credential Stuffing nutzen Angreifer Login-Daten aus anderen Hacks, um sich automatisiert in SwissPass-Konten einzuloggen. Viele Nutzer verwenden dieselben Passwörter für verschiedene Dienste – das macht es Angreifern leicht. Bei den Angriffen auf SwissPass-Konten wurden offenbar Billette gekauft und auf dem Schwarzmarkt weiterverkauft – auf Kosten der tatsächlichen Kontoinhaber.
Was ändert sich für euch?
Wenn ihr künftig ein Ticket mit dem SwissPass kauft, wird eine zusätzliche Identitätsprüfung durchgeführt. Für euch bedeutet das zwar einen minimalen Mehraufwand, aber auch deutlich mehr Sicherheit. Die Details, wie diese Identitätsprüfung genau funktioniert, hat die ÖV-Branche aus Sicherheitsgründen nicht vollständig offengelegt. Klar ist jedoch: Die neue SwissPass Sicherheitsmassnahme wird direkt im Hintergrund aktiv sein, ohne dass ihr eine App oder ein neues Passwort benötigt.
Die Verantwortung der Anbieter
Die Kritik an SwissPass und SBB war laut – zurecht. Denn: Wer digitale Dienste anbietet, muss auch für deren Sicherheit sorgen. Dass die neue SwissPass Sicherheitsmassnahme nun endlich kommt, zeigt zumindest, dass man die Problematik ernst nimmt. Trotzdem bleibt ein schaler Nachgeschmack: Warum erst jetzt?
Es bleibt zu hoffen, dass weitere Schritte folgen – etwa durchgehende Zwei-Faktor-Authentifizierung, klare Benachrichtigungssysteme bei Kontoaktivitäten und mehr Transparenz für Nutzerinnen und Nutzer.
Fazit: Sicherheit ist Teamarbeit
Die neue SwissPass Sicherheitsmassnahme ist ein wichtiger Fortschritt – aber kein Allheilmittel. Eure Mithilfe ist weiterhin gefragt: starke Passwörter, gesunder Menschenverstand und eine Portion Skepsis gehören weiterhin zur digitalen Selbstverteidigung. Gemeinsam machen wir es den Angreifern schwer.