Mit der KVV-App können Kunden mobil Tickets kaufen.
Mit der KVV-App können Kunden mobil Tickets kaufen. | Foto: Sandbiller

Verkehr

Datenleck: KVV-Kundeninformationen waren jahrelang im Internet abrufbar

Anzeige

Der Karlsruher Verkehrsverbund (KVV) räumt eine Datenpanne ein. Demnach waren Kundendaten einer KVV-App vier Jahre lang im Internet abrufbar. Es geht um 9.000 Einträge. Ein Sprecher erklärt, wer zum Kreis der Betroffenen gehört und wer nicht.

Die Betroffenen können die Post an diesem Freitag oder spätestens am Wochenende aus dem Briefkasten holen: Daten von KVV-Kunden sind im Internet gelandet. Der Karlsruher Verkehrsverbund informiert die betroffenen Kunden über das Risiko nun per Post.

Auch interessant: Neue Ticketpreise im KVV: Kreis Karlsruhe war gegen Erhöhung

Die Daten waren von 2015 bis Ende 2019 auf einer Webseite im Internet abrufbar. Lediglich für das vergangenen Halbjahr könne man garantieren, dass Dritte nicht auf die Daten zugegriffen haben, erklärt ein KVV-Sprecher.

Wenn Sie ganz normal Tickets gekauft haben, müssen Sie keine Sorge haben

KVV-Sprecher

Es geht um Kunden, die „KVV.ticket“ genutzt haben. Mit der App können sie mobil Bahntickets erwerben. Insgesamt sind 9.000 Kunden-Einträge betroffen. Es geht laut den Verkehrsbetrieben um inaktive Kunden, die auf einer Art Sperrliste gelandet sind. Dort landen unter anderem Kunden, die Zahlungsaufforderungen nicht nachkamen oder die mehrere Accounts mit offensichtlich falschen Angaben angelegt haben.

Auch interessant: Keine Kurzstreckentarife: Gelegenheitsfahrer spielen beim KVV eine untergeordnete Rolle

„Es gibt große Unterschiede bei der Vollständigkeit“, so ein KVV-Sprecher. Ein Risiko bestehe nur, wenn Name, Adresse, Handynummer und IBAN angegeben sind – das sei bei 1.200 Einträgen der Fall. Wie viele Kunden hinter den Einträgen wirklich stecken, sei schwer zu schätzen. Der Sprecher betont aber: „Wenn Sie ganz normal Tickets gekauft haben, müssen Sie keine Sorge haben.“ Es gehe nur um Kunden, die auf der Sperrliste gelandet sind.

Weitere Verkehrsverbünde betroffen

Ein solches Datenleck habe es beim KVV noch nie gegeben. Größer sei das Problem aber beim Rhein-Main-Verkehrsverbund (RMV), bei dem es um 8.000 Einträge geht. Auch der Nordhessische Verkehrsverbund nutzt den App-Dienstleister – hier sind 2.400 Einträge betroffen.

Durch einen Konfigurationsfehler, so der App-Dienstleister, konnten die Kunden-Daten auf der Webseite landen. Diese soll aber nicht über die Suchmaschinen auffindbar gewesen sein. „Jemand müsste die Webseite gezielt angesteuert haben“, sagt der KVV-Sprecher. „Dafür bräuchte es eine entsprechende kriminelle Energie.“

Betroffene können E-Mail schreiben

Der Sprecher erklärt: „Wir haben das von IT-Experten untersuchen lassen.“ Dass Dritte auf die Daten zugegriffen hätten, „können wir nicht gänzlich ausschließen. Aber das Risiko ist sehr gering.“
Der Fehler fiel dem App-Dienstleister selbst auf, der dann die Verkehrsverbünde informierte. „Hinweise von außen auf das potenzielle Datenleck gab es nicht“, teilt der KVV mit.

Nach Abstimmung mit der Landesdatenschutzbehörde rät der Karlsruher Verkehrsverbund den angeschriebenen Kunden, ihren Account sowie ihre Bankauszüge auf verdächtige Transaktionen zu prüfen.

Zudem können Betroffene per E-Mail Kontakt mit dem Verkehrsverbund aufnehmen: datenschutz@kvv.karlsruhe.de. „Wir müssen uns das dann im Einzellfall anschauen“, kündigt der KVV-Sprecher an.