Datenleck bei Zürcher Badis: Daten von 45'000 Badegästen waren online

Zürcher Schwimmbäder haben ein Datenleck zu beklagen. Sensible Daten von 45'000 Badegästen waren wochenlang online abrufbar, wie die "NZZ" berichtet. Es geht um Namen, Mailadressen, Wohnadressen, Telefonnummern und Porträtfotos. 

Nachdem ein Programmierer das Zürcher Schul- und Sportdepartement Mitte Juni auf das Datenleck aufmerksam gemacht hatte, dauerte es acht Tage, bis das Amt reagierte. Weitere drei Wochen vergingen, bis der Fehler behoben war. 

Der Hinweis vom freundlichen Hacker

Der nicht namentlich genannte Programmierer, der sich als "freundlicher Hacker" bezeichnet, stiess per Zufall auf das Leck, als er sein Badi-Abonnement erneuern wollte. Jedem Abo ist eine zehnstellige Nummer zugeordnet - und dem Hacker sei aufgefallen, dass es ausreiche, diese Nummer auf der Website einzugeben, um auf die eigenen Daten zu stossen, schreibt die "NZZ".

Mit einer Software sei es dem Hacker gelungen, innerhalb eines Tages die Daten von 500 Badegästen herunterzuladen. "Mit mehr Zeit hätte ich auf diese Weise 20'000 Datensätze erhalten können", sagte der Programmierer gegenüber den Tamedia-Zeitungen, die den Fall publik machten. 

Keine Hinweise auf Datendiebstahl

Einen Monat lang hätte also jede Person, die in der Stadt Zürich angemeldet ist und über ein Log-in für die städtischen Onlinedienste verfügt, auf die Daten zugreifen können. Dies sei allerdings wohl nicht geschehen, teilt das Zürcher Sportamt mit. Es gebe keine Hinweise auf unbefugten Zugriff auf Daten von Drittpersonen im Onlineshop. 

Die Behörde habe gemeinsam mit IT-Fachpersonen von Organisation und Informatik Stadt Zürich (OIZ) mit dem zuständigen Lieferanten, der Schweizer Ländergesellschaft des österreichischen IT-Dienstleisters n-tree Solutions, "umgehend" Kontakt aufgenommen. Der Dienstleister schaltete eine "sichere Lösung" am 14. Juli auf. "Seither ist die Sicherheitslücke geschlossen", lässt sich Bruno Maurer, CEO von n-tree solutions Schweiz, in der Mitteilung des Sportamts zitieren. 

Das Sportamt unter der Leitung von Filippo Leutenegger (FDP) arbeite den Vorfall zusammen mit der OIZ, dem Lieferanten des Onlineshops und der Datenschutzstelle der Stadt Zürich auf, heisst es in der Mitteilung der Behörde. Und weiter: Das Sportamt bedaure, dass wegen der Sicherheitslücke die Gefahr bestand, dass Unbefugte auf Daten Dritter hätten zugreifen können.

Sportamt verletzte Meldepflicht

Heikel ist jedoch, dass das Sportamt darauf verzichtete, die Zürcher Datenschutzstelle der Vorschrift entsprechend zu informieren. Die Stelle erfuhr durch den Hacker vom Leck. Wie die "NZZ" schreibt, stellt sich das Sportamt auf den Standpunkt, die Daten seien nicht mit besonderen Risiken für die Grundrechte der Personen verbunden. Dies habe das Sportamt so eingeschätzt, als es 2022 den Webshop eingerichtet habe.

Die Datenschutzstelle der Stadt Zürich lässt die Begründung des Sportamts nicht gelten. Die Grundrechte der betroffenen Personen seien potenziell sehr wohl gefährdet gewesen. "Das Sportamt hat seine Meldepflicht verletzt", sagt Patrizia Schwarz, stellvertretende Datenschutzbeauftragte der Stadt Zürich, gegenüber der "NZZ". 

Übrigens: Mit dem Inkrafttreten des neuen Datenschutzgesetzes am 1. September kommen auch auf Unternehmen neue Auskunfts-, Informations- und Meldepflichten zu. Adrian Lobsiger, der Eidgenössische Datenschutz- und Öffentlichkeits­beauftragte (EDÖB), ordnet die Neuerungen ein und spricht darüber, welche Veränderungen wohl noch am meisten zu reden geben. 

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.