Augsburger Allgemeine (Ausgabe Stadt)
AVV bezieht Stellung zu Datenleck
Hacker hatten Zugriff auf die Daten von vielen Kunden aus der Region. Der Verkehrsverbund benötigte offenbar einige Zeit, um auf die Sicherheitslücke zu reagieren
Das Thema wird den Augsburger Verkehrs- und Tarifverbund möglicherweise noch eine Weile beschäftigen. Gut möglich, dass es etwa bereits am Donnerstag im Augsburger Stadtrat größer zur Sprache kommt; mehrere Fraktionen haben angekündigt, dort einen Bericht anzufordern. Anonyme Hacker hatten in den vergangenen Wochen offenbar Zugriff auf Zehntausende sensibler Kundendaten des AVV. Entdeckt hat die Sicherheitslücke eine Hacker-gruppierung Namens „Leaksdev“, die angab, mit der Veröffentlichung der Schwachstelle erreichen zu wollen, dass die Lücke geschlossen werde, was mittlerweile offenbar geschehenist. Nun bezieht der AVV erstmals umfangreicher Stellung zum Vorfall – und bestätigt damit auch die Berichte unserer Redaktion. Allerdings zeigt sich auch, dass der Verkehrsbund offenbar einige Zeit benötigte, um auf das Leck zu reagieren.
Avv-geschäftsführer Andreas Mayr sagt, dass Hacker offenbar „zeitweise Zugriff auf einen Teil unserer Kundendaten” hatten. Details zu Art und Umfang des Angriffs und den betroffenen Datensätzen seien noch nicht bestätigt und Gegenstand
laufenden polizeilichen Ermittlungen, so der AVV. „Wir haben bereits erste Maßnahmen umgesetzt, um den Schutz der Kundendaten weiter zu erhöhen“, so Mayr. Aktuell werde zusätzlich eine It-sicherheitsfirma damit beauftragt, die Server des AVV auf mögliche Sider cherheitslücken zu prüfen und diese zu schließen.
Nach Auskunft des Verkehrsverbundes haben die Hacker den AVV „nach dem Angriff per E-mail kontaktiert“, was die Darstellung der anonymen Gruppierung in dem Punkt bestätigt. Dabei sei jedoch lediglich „abstrakt auf Sicherheitslücken verwiesen“worden, so der AVV. „Daraufhin haben wir umgehend die Polizei verständigt, Anzeige erstattet und die Datenaufsichtsbehörde informiert”, sagt Mayr. Nach Auskunft der Hacker allerdings habe man den Verkehrsverbund bereits am 3. September über die Sicherheitslücke informiert. Anzeige erstattet hat der AVV nach Polizeiangaben am 14. September, also rund eineinhalb Wochen später.
Wie bereits berichtet, sind Nahverkehrskunden, die ihre Tickets nicht beim AVV sondern direkt bei den Stadtwerken Augsburg gekauft haben, wohl nicht von der Sicherheitslücke betroffen. Darauf weisen die Stadtwerke nun noch einmal gesondert hin, nachdem „zahlreiche besorgte Kunden nachgefragt haben“, wie es in einer Mitteilung heißt. Die Kundendaten der Stadtwerke seien auf eigenen Servern mit aktuellen Sicherheitssystemen abgelegt.