Der Augsburger Verkehrs- und Tarifverbund (AVV) informiert seine Fahrgäste auf seiner Website unter https://www.avv-augsburg.de/hackerangriff über mögliche Folgen des Hackerangriffs im September 2020. Eine anonyme Hackergruppe hatte sich Zugriff auf die AVV-Kundenkarten-Datenbank verschafft. Der AVV bedauert diesen Vorfall und die möglicherweise daraus entstandenen Unannehmlichkeiten für Kunden außerordentlich.
Nur Fahrgäste mit Kundenkarte des AVV könnten betroffen sein
Betroffen sein könnten Kundendaten, die bei der Bestellung einer AVV-Kundenkarte erhoben wurden. Sofern sie bei der Bestellung der Kundenkarte angegeben wurden, waren folgende Daten von Kundenkarteninhabern in der Datenbank gespeichert: Name, Anschrift, Geburtsdatum, Geschlecht, Telefonnummer, E-Mail-Adresse, Student (ja/nein bzw. Inhaberschaft einer campus-Karte), gewünschte Verbindung für die Kundenkarte (Start-, ggf. Umstieg- und Zielhaltestelle), bevorzugtes Beförderungsmittel). Andere sensible Informationen, wie beispielsweise Passwörter oder Bankdaten, sind nicht in der betroffenen Datenbank gespeichert.
Auf der Datenbank befanden sich Daten von Kunden des AVV, die eine Kundenkarte bezogen haben. Daten anderer Kunden des AVV (etwa Abo-Kunden) befanden sich nicht auf der Datenbank. Auch Informationen zu Nahverkehrskunden von AVV-Partnern, etwa den Augsburger Stadtwerken, DB Regio AG oder der Bayerischen Regiobahn, wurden auf der Datenbank nicht gespeichert.
Keine Hinweise auf Datenmissbrauch
Nach Aussagen der Hackergruppe gegenüber der Presse sei das Ziel des Datenzugriffs gewesen, auf die Sicherheitslücke hinzuweisen, um Schäden bei Privatpersonen zu vermeiden. Die Hackergruppe hat sich in der Presse von betrügerischen Aktivitäten distanziert. „Auch wenn wir weiterhin keine Anhaltspunkte dafür haben, dass die Daten dieser Fahrgastgruppe für missbräuchliche Zwecke verwendet wurden bzw. werden, bitten wir unsere Kunden nach wie vor um erhöhte Aufmerksamkeit, insbesondere beim Empfang verdächtiger E-Mails“, sensibilisiert Mayr und appelliert: „Seien Sie bitte besonders aufmerksam bei Links oder Dateianhängen in verdächtigen E-Mails und/oder von unbekannten Absendern. Wir weisen vorsorglich darauf hin, dass der AVV per E-Mail weder Passwörter noch Bankverbindungen abfragt.“
Umfangreiche Maßnahmen ergriffen
„Wir nehmen den Vorfall sehr ernst“, betont Mayr. „Der AVV hat die ermittelten Sicherheitslücken am betroffenen Kundenkartensystem geschlossen und zusätzlich umfangreiche Maßnahmen ergriffen, um den Schutz personenbezogener Daten weiter zu erhöhen. Für die technische Aufarbeitung haben wir externe Experten eingebunden. Zudem stehen wir in engem Kontakt mit den zuständigen Polizei- und Datenschutzbehörden“, schließt Mayr. Der AVV führt darüber hinaus umfangreiche präventive Maßnahmen zur Gefahrenabwehr an sämtlichen AVV-Online-Systemen durch, um den Schutz der Fahrgastdaten weiter zu erhöhen.