Bild: Tero Vesalainen / Shutterstock.com

Wer mit Eurail, Interrail oder DiscoverEU durch Europa reist, denkt an Freiheit, Bahnromantik und günstige Tickets. Wie das Portasl Golem berichtet,  ist aber eine deutlich unangenehmere Nebenwirkung aufgetaucht: Bei Eurail B.V. ist ein Datenleck bekannt geworden – und offenbar sind Datensätze inzwischen über Telegram und im Darknet unterwegs. Nicht als Gerücht, sondern laut Unternehmensmitteilung sogar „zum Verkauf“. Für Reisende heißt das: Aufpassen, bevor aus der Traumroute ein Albtraum wird.

Was ist passiert – und warum ist das ernst?

Mitte Januar wurde öffentlich, dass es bei Eurail B.V., einem Dienstleister rund um die Ticket- und Reservierungsabwicklung, ein Sicherheitsproblem gab. Inzwischen geht Eurail davon aus, dass Angreifer zumindest einen Teil der Daten tatsächlich abziehen konnten. Das ist der entscheidende Punkt: Es geht nicht nur um ein theoretisches Risiko, sondern um Daten, die bereits kursieren.

Besonders brisant: Auf Telegram soll ein Beispieldatensatz veröffentlicht worden sein. Und im Darknet sollen Datenpakete auftauchen, die dort angeboten werden. Wie viele Datensätze genau betroffen sind, ist noch unklar – das wird laut Eurail noch untersucht. Genau diese Unklarheit ist für Betroffene so unerquicklich: Man weiß nicht, ob man selbst dabei ist, bis eine Info kommt – oder der erste Betrugsversuch.

Welche Daten können betroffen sein?

Nach aktuellem Stand könnten mehrere Datenarten darunter sein, die für Betrüger extrem wertvoll sind – nicht weil sie „spannend“ sind, sondern weil sie sich kombinieren lassen. Genannt werden:

• Bestell- und Reservierungsdaten
• Identitätsdaten
• Kontaktdaten
• Informationen zu Reisebegleitern
• in einigen Fällen Passdaten (Passnummer, Ausstellungsland, Ablaufdatum)

Das klingt erstmal nach „Bürokratie-Kram“. Für Kriminelle ist es jedoch eine Art Werkzeugkasten: Mit realen Buchungsdetails lassen sich Phishing-Mails deutlich glaubwürdiger bauen („Ihre Reservierung XY…“) oder Anrufe, die wie echter Support wirken.

DiscoverEU: Noch heiklerer Streit um die Daten

Auch DiscoverEU ist betroffen, denn die EU-Initiative ist Vertragspartner von Eurail. DiscoverEU spricht in einer eigenen Meldung von einem möglichen Abfluss von Ausweis- und Passkopien, Adressdaten, Telefonnummern, IBANs und nicht näher beschriebenen gesundheitsbezogenen Daten. Eurail wiederum betont, selbst keine Ausweiskopien oder Bankdaten gespeichert zu haben. Heißt: Es ist noch nicht abschließend klar, woher welche Daten stammen – aber klar ist, dass Betroffene sich nicht auf „wird schon nichts sein“ verlassen sollten.

Was du jetzt tun solltest – ohne Panik, aber mit Plan

Eurail will Betroffene informieren, sobald belastbare Informationen vorliegen. Bis dahin gilt: wachsam sein.

• Misstraue Mails/SMS/Anrufen, die „dringend“ wirken und auf Links drängen.
• Prüfe Konten auf ungewöhnliche Transaktionen und melde Verdachtsfälle der Bank.
• Nutze starke, einzigartige Passwörter und – wenn möglich – Zwei-Faktor-Login.
• Wenn jemand „zur Verifikation“ Passdaten oder IBAN will: lieber auflegen und selbst über offizielle Kanäle zurückrufen.

Kommentar

Solche Leaks sind der Moment, in dem Unternehmen gern sagen: „Wir untersuchen noch.“ Verständlich – aber für Kunden ist das ein schwacher Trost, wenn die Daten bereits angeboten werden. Wer Reisedaten sammelt, sammelt Vertrauen. Und Vertrauen ist keine Datei, die man nach einem Vorfall einfach „patchen“ kann. Wenn bei DiscoverEU sogar von IBANs und sensiblen Infos die Rede ist, dann braucht es nicht nur Aufklärung, sondern messbare Konsequenzen: weniger Datensammelei, kürzere Speicherfristen, klare Nachweise, wer was wirklich gespeichert hat. Sonst bleibt bei vielen Reisenden vor allem eins hängen: Europa-Ticket ja – aber bitte ohne digitalen Koffer voller persönlicher Daten.

Quellen: golem.de, youth.europa.eu