Zehntausende Schweizer Kreditkarten-Abrechnungen offen zugänglich im Internet

Wegen eines Lecks bei Viseca waren Abbuchungen von Firmen­kunden online einsehbar. Der Schweizer Finanz­dienstleister unterliess es, alle betroffenen Kunden zu informieren.

Eine Recherche von Adrienne Fichter (Text) und Alexander Glandien (Illustration), 20.03.2023

Vorgelesen von Dominique Barth
0:00 / 18:21

Abbuchungen für Google Cloud, Belege für Beschaffungen beim Elektro­händler, Rechnungen für Treffen mit Stamm­kundinnen in Cafés: Das sind Firmen­daten, die nicht für die Öffentlichkeit bestimmt sind.

Doch genau solche Kreditkarten­daten von Zehntausenden KMU-Kunden des Schweizer Finanz­dienstleisters Viseca waren während 18 Monaten frei im Internet zugänglich und für alle einsehbar.

Viseca ist nicht irgendein Unter­nehmen: Sie verwaltet die Kredit­karten aller Kantonal­banken, der Raiffeisen-Gruppe, der Bank Cler sowie von Regional-, Privat- und Handels­banken. Damit gehört sie zu den sechs grössten Schweizer Kreditkarten­anbietern.

Entdeckt hat die Sicherheits­lücke im digitalen Kunden­portal von Viseca die IT-Sicherheits­firma Pentagrid. Sie wandte sich mit ihren Informationen zunächst an den Finanz­dienstleister und danach an die Republik. Aktuelle Recherchen belegen, dass das Datenleck sämtliche KMU mit einer Viseca-Kreditkarte umfasst. Inzwischen hat die Kreditkarten­firma das Leck gestopft.

Doch es bleiben Fragen: Was ist da genau passiert? Wie ist ein solcher Fehler überhaupt möglich? Und welche Folgen haben solche Sicherheits­lücken?

Die wichtigsten Aspekte des Viseca-Falls in 10 Fragen und Antworten:

1. Die Sicherheits­lücke: Worum geht es?

Zwischen Juni 2021 und November 2022 waren die monatlichen Kreditkarten­abrechnungen von Zehntausenden Viseca-Geschäfts­kunden frei im Internet zugänglich – wie in einem Telefon­buch. Das ist durchaus wörtlich gemeint: Für den Zugriff auf die Daten waren kaum technische Kenntnisse nötig. Das Einzige, was man brauchte, um an die Daten zu kommen, war ein funktionierender Browser.

2. Die Daten: Was war frei im Internet verfügbar?

Die gefundenen Informationen waren höchst vertraulich. Aus den Abrechnungen liess sich herauslesen, welche Unternehmen wann wo was einkauften oder in welcher Cloud sie ihre Daten speicherten. Hätte jemand die Daten massenhaft aus dem Internet herunter­geladen, wären einige der Geschäfts­beziehungen der Firmen vollständig rekonstruierbar gewesen.

Konkret enthielten die Abrechnungen die Firmen­adresse, die Karten­konto­nummer, die Namen aller Karten­inhaber (Geschäfts­führerinnen, aber auch leitende Angestellte), eine maskierte Form der Kreditkarten­nummer (also zum Beispiel 1111 11XX XXXX 1111), die Karten­limite, den Kartentyp – und den Namen der Bank des Unternehmens. Das ritzte auch das Bankkunden­geheimnis. Ausserdem waren teilweise konkrete Transaktionen erkennbar und auch, wer sie durchführte.

Viseca-Sprecher Nicolas Kucera weist darauf hin, dass die hinterlegten PDF-Abrechnungen nach 13 Monaten jeweils gelöscht würden.

Unter den frei einsehbaren Abrechnungen befanden sich auch solche der Republik, im Original ohne geschwärzte Stellen. Diese haben wir aus Gründen des Persönlichkeits­schutzes hinzugefügt.

3. Das Ausmass: Wer ist vom Datenleck betroffen?

Betroffen waren alle KMU-Kunden, die beim Finanz­dienstleister Viseca eine Kredit­karte haben. Der Markt­anteil von Viseca bei Firmen­kreditkarten beträgt laut Branchen­kennern rund 25 Prozent. «Viele Firmen­kunden dürften eine Karte der Kantonal­bank nutzen», sagt Ralf Beyeler vom Vergleichs­dienst Moneyland dazu.

Konfrontiert mit den Recherchen zum Sicherheits­leck, räumt Viseca ein, dass durch ein Datenleck die Kreditkarten­informationen aller KMU-Kundinnen offen im Netz lagen. Sprecher Nicolas Kucera sagt dazu: «Es sind potenziell die Business­kunden betroffen.» In den Antworten suggeriert Viseca aber zunächst, dass es sich dabei nur um Nutzerinnen des Spesen­management-Tools «eXpense» handelte. Eine genaue Zahl wollte das Unternehmen aus Gründen der Wahrung des Geschäfts­geheimnisses nicht nennen.

Weitere Recherchen der Republik brachten allerdings ans Licht, dass diese Antwort – zumindest technisch gesehen – nicht korrekt war. Denn auch die Abrechnungen der KMU ohne «eXpense»-Konto waren öffentlich zugänglich (siehe Infobox «Wie wir das Ausmass des Datenlecks eruiert haben»). Das bedeutet, dass die Kreditkarten­abrechnungen von Zehntausenden Schweizer Firmen im Internet einsehbar waren. Darunter befanden sich übrigens auch Abrechnungen der Republik, wie sich während der Recherchen zeigte.

Ich will es genauer wissen: Wie wir das Ausmass des Datenlecks eruiert haben

Viseca suggerierte zunächst, dass nur ein bestimmter Teil ihrer Kunden betroffen gewesen sei, nämlich jene, die ein Tool namens «eXpense» verwendeten.

Recherchen der Republik zeigen jedoch, dass das Datenleck über die beschriebene Kunden­gruppe hinausgeht. Wir gelangten an verschiedene Kreditkarten­abrechnungen von drei Firmen aus der Gastro­industrie. Und fragten bei den Geschäfts­führern dieser Firmen nach, ob sie «eXpense» kennten und dort ein Benutzer­konto eingerichtet hätten.

Alle drei Firmen, die anonym bleiben wollen, antworteten mit Nein.

Damit wurde klar: Nicht nur «eXpense»-Nutzerinnen waren von der Lücke betroffen, sondern ein grosser Teil der Firmen mit einer Viseca-Kreditkarte.

Wie ist das möglich? Wenn bei «eXpense» eine Kreditkarten­abrechnung einer Firma abgerufen wird, «holt» das Tool diese Daten beim Kreditkarten­herausgeber. Das Testkonto des Spesen­management-Tools dient damit als «Eintritts­ticket» für Unbefugte. Mit dieser gültigen URL im Browser kann man sich einfach «durch­probieren», bis man auf ein PDF einer Kreditkarten­abrechnung stösst.

4. Die Aufdeckung: Wie wurde das Leck entdeckt?

Durch Zufall. «Am Anfang war es bloss ein mulmiges Gefühl», sagt Tobias Ospelt, Mitgründer von Pentagrid. Seine Firma benötigte ein Spesen­tool, um Abrechnungen digital zu verwalten. Und Viseca bietet mit «eXpense» genau ein solches Werkzeug an. Ospelt wollte dieses ausprobieren, legte ein Benutzer­konto für Pentagrid an – und wurde misstrauisch.

Aus seiner Sicht wurden im Anmelde­prozess gängige Sicherheits­standards nicht erfüllt. Statt dass wie üblich für die 2-Faktor-Authentifizierung ein zufälliger Code generiert und den Nutzerinnen per SMS zugeschickt wird, nutzte Viseca für die Authentifizierung die letzten vier Ziffern der Telefon­nummer des Nutzers. Eine fixe Zahlen­reihe also, die durchaus auch von Dritten in Erfahrung gebracht werden kann.

5. Der Zugriff: Wie einfach war es, an die Kreditkarten-Daten zu gelangen?

Der «Bad Practice»-Fund im Anmelde­prozess von Viseca weckte den Instinkt von Tobias Ospelt, der seit über einem Jahrzehnt in der IT-Sicherheits­branche arbeitet. Er beschloss, das Spesen­tool mit Kollegen genauer anzuschauen. Und er wusste, wo er ansetzen musste: bei der Funktion zum Herunter­laden von PDF-Auszügen. Das sei ein Klassiker unter den Sicherheits­lecks, sagt er. Gemäss seiner Erfahrung werde oft nicht richtig geprüft, ob ein Benutzer befugt ist, auf das entsprechende PDF zuzugreifen.

Und siehe da: Ospelt wurde nicht enttäuscht. Innert kurzer Zeit gelangten er und seine Kollegen an Kreditkarten­abrechnungen, die nicht für sie bestimmt waren, und zwar durch das blosse Verändern einer Zahl in der Webadresse des Browsers.

Wie war das möglich? Konkret nutzten Ospelt und sein Team das Testkonto von «eXpense». Dabei handelt es sich um ein Standard-Benutzer­konto mit voreingestellten Testdaten. So können potenzielle Kundinnen die Vorzüge des Spesen­management-Tools ausprobieren. Wer sich einloggte, war gewisser­massen ein normaler Viseca-Kunde, der sich im Dashboard Beispiel­rechnungen anschauen konnte. Bis zu diesem Punkt war noch alles im grünen Bereich.

Doch die Pentagrid-Experten hatten den Verdacht, dass sie womöglich noch mehr zu sehen bekommen könnten. Die URL des Browsers zeigte die Karten-ID des Testkontos und auch Abrechnungs­nummern an. War es vielleicht möglich, durch die Änderung von einigen Ziffern in der Test-URL an die Daten ihres eigenen, inzwischen eingerichteten «eXpense»-Kontos zu kommen?

Auch hier bestätigte sich: Ja, das funktionierte. Angemeldet im Testkonto, konnte das Pentagrid-Team eine ihrer eigenen monatlichen Kreditkarten­abrechnungen herunter­laden. Die Sicherheits­experten waren geschockt. Sie meldeten Viseca die Sicherheits­lücke – und kontaktierten später die Republik.

6. Der zweite Test: War tatsächlich alles noch einfacher?

Die Republik führte einen zweiten Test durch. Wir wollten wissen, ob der Zugriff auch funktioniert, wenn man nicht im Viseca-Kunden­portal «eXpense» eingeloggt ist. Zu diesem Zweck kopierten wir die URL des Testkontos in einen anderen Browser und veränderten die Ziffern am Ende der Zahlen­reihe. Und tatsächlich: Es gab keine Einschränkungen. Die Republik hatte plötzlich Einsicht in Kreditkarten­abrechnungen von drei fremden KMU.

Ich will es genauer wissen: Die Sicherheits­lücke aus technischer Sicht

Die gefundenen Schwach­stellen gehören laut Experten zu den Top-10-Sicherheits­lücken und heissen im technischen Jargon authentication failure und insecure direct object references (Idor).

Das heisst: Jede Internet­nutzerin konnte «von aussen» dank Kenntnis der URL auf Daten zugreifen und brauchte weder technische Kenntnisse noch ein Log-in.

Noch gravierender als die fehlende Authentifizierung ist die fehlende Autorisierungs­kontrolle. Viseca hätte prüfen sollen, ob eine angemeldete Nutzerin überhaupt berechtigt ist, in der Web­adresszeile eines Browsers jene Rechnungen abzurufen, die sie anfordert. Da gab es keine Einschränkungen bei den Zugriffs­rechten.

Zum Problem führte ausserdem die durchschaubare Komposition einer gültigen URL: Diese setzte sich aus der Nummer der Karten-ID (wie in unserem Fall diejenige des Testkontos), dem Zeit­stempel (Datum der Kreditkarten­abrechnung) und sechs weiteren Ziffern zusammen. Die Republik brauchte die URL manuell bloss dahin­gehend zu verändern, dass sie bei den letzten Ziffern einfach +1 rechnete (zum Beispiel «statementID456982» zu «statementID456983» machte), um so problemlos an die Kreditkarten­rechnungen der drei erwähnten Firmen zu gelangen.

Den detaillierten technischen Bericht kann man im Blog der IT-Sicherheits­firma Pentagrid nachlesen.

7. Der Schaden: Wurde die Sicherheits­lücke ausgenutzt?

Viseca-Sprecher Nicolas Kucera sagt, dass ausser den «gemeldeten Zugriffen» (darunter diejenigen der Republik) in den entsprechenden Logdateien nichts verzeichnet sei. Das bedeutet: Nach Auskunft von Viseca gibt es keine Hinweise auf Hackerinnen.

Viseca liess zudem Expertinnen recherchieren, ob im Darknet Datensätze ihrer Kreditkarten­kunden zum Verkauf angeboten werden. Auch da sei nichts auf dem Markt gefunden worden, sagt Kucera – was die Republik nach eigenen Recherchen bestätigen kann.

Zum heutigen Zeitpunkt ist davon auszugehen, dass die Lücke nicht von Unbefugten ausgenutzt worden ist.

8. Die Folgen: Muss die Sicherheits­lücke den Behörden gemeldet werden?

Das ist unklar. Die Eidgenössische Finanzmarkt­aufsicht (Finma) sieht sich in diesem Fall als nicht zuständig an und verweist an den eidgenössischen Datenschutz­beauftragten (Edöb). Dessen Sprecherin Silvia Böhlen sagt auf Anfrage, es «besteht lediglich eine Meldepflicht, wenn die erfolgte Verletzung der Daten­sicherheit voraus­sichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grund­rechte der betroffenen Person führen kann».

Was ist ein hohes Risiko? Die Frage ist nicht leicht zu beantworten.

Die Daten aus den Kreditkarten­abrechnungen hätten für Kriminelle durchaus interessant sein können. Zum Beispiel für die Erpressung von Firmen­inhabern, die mit ihren Kreditkarten den Zugang zu einer Pornografie-Plattform bezahlten. Auch wären die gefundenen Informationen für Phishing-Kampagnen nützlich: «Ein mögliches hohes Risiko sehe ich darin, dass Angaben auf Kreditkarten­rechnungen zum Teil für die Identifikation gegenüber dem Kunden­dienst eines beliebigen Services genutzt werden. Die Angaben könnten aber auch für Betrugs­maschen missbraucht werden», sagt Martin Steiger, IT-Anwalt und Medien­sprecher der Digitalen Gesellschaft. Ausserdem erhalten Hackerinnen wissens­werte Informationen für künftige Cyber­angriffe: wer in der Firma die Kreditkarte nutzt, wer die Lieferanten der Firma sind und wer die IT-Infrastruktur bereitstellt.

Derzeit scheint keine Bundes­behörde für solche Fälle zuständig zu sein – weshalb Viseca auch keine Sanktionen oder Bussen drohen.

Bei diesem Sicherheits­leck ist die Daten­sicherheit massiv vernachlässigt worden. Haben betroffene Firmen keine Möglichkeiten, dagegen vorzugehen? Doch, sagt IT-Anwalt Martin Steiger: «Unternehmen könnten unter dem noch geltenden Daten­schutz­gesetz Zivil­klage erheben. Sie können eine wider­rechtliche Persönlichkeits­verletzung feststellen lassen und allenfalls Genugtuung oder Schaden­ersatz fordern.» Doch solche rechtlichen Schritte sind sehr aufwendig. Und es gebe, so Steiger, keine Erfolgs­garantie.

9. Die Reaktion: Wie reagierte Viseca auf das Leck?

Der IT-Sicherheits­experte Tobias Ospelt meldete die Sicherheits­lücke dem Kreditkarten­anbieter am 11. November 2022. Dieser reagierte schnell: Knapp eine Woche später, also am 16. November 2022, war das Leck geschlossen. Viseca liess den Fall aufarbeiten und ihre Systeme nochmals umfassend prüfen.

Hier handelte die Kreditkarten­firma vorbildlich.

Anders sieht es mit der Information der Betroffenen zur Sicherheits­lücke aus: Viseca informierte – angesichts der bevor­stehenden Bericht­erstattung der Republik – in den letzten Wochen zwar die Banken und die drei Firmen, deren Daten die Republik zufällig bei ihren Tests gesehen hatte. Für die Kommunikation gegenüber den anderen Zehn­tausenden von Unternehmens­kundinnen fühlt sich die Kreditkarten­herausgeberin nicht verantwortlich. Viseca sagt, die Entscheidung über eine Information läge bei den Banken. Die Zürcher Kantonal­bank nimmt keine Stellung und verweist auf Anfrage der Republik zurück an Viseca. Die Raiffeisen-Gruppe und die Bank Cler sehen von einer Information ab, weil bei ihren Firmen­kundinnen kein unbefugter Zugriff geschehen sei.

Mit anderen Worten: Viele Betroffene und die Öffentlichkeit erfahren vom Sicherheits­leck bei Viseca wohl erst über diese Recherche.

10. Die Lehren: Warum hat Viseca das Sicherheits­leck nicht selbst bemerkt?

Das Spesen­management-Tool «eXpense» werde von einer externen Firma betrieben, hält Viseca in einem schriftlichen Statement fest. Dabei handelt es sich um Fiserv, eine global tätige US-Firma, die Technologien für den Finanz­sektor anbietet.

Laut Viseca zeigte sich aufgrund einer technischen Analyse, dass die gemeldete Sicherheits­lücke seit eineinhalb Jahren vorliegt.

Da es sich bei der gefundenen Lücke um eine klassische IT-Schwach­stelle handelt, die bei jeder Sicherheits­prüfung als Erstes angeschaut wird, stellt sich die Frage, wie Viseca ihren technischen Zulieferer überhaupt prüfte. Und ob das entsprechende Tool je auf Angriffs­szenarien getestet wurde. Viseca antwortet auf diese Frage bloss ausweichend: «Wir führen bei ‹eXpense› regelmässige automatisierte Sicherheits­tests durch. Die absolute Fehler­freiheit einer Anwendung kann aber nie mit absoluter Sicherheit bewiesen werden.»

Nachfrage: Wenn permanent getestet wird, wie konnte dann diese Schwach­stelle so lange unbemerkt bleiben? Dazu sagt Sprecher Nicolas Kucera: «Grundsätzlich gehen wir davon aus, dass diese Sicherheits­schwäche deshalb unentdeckt blieb, da sie gemäss unseren Abklärungen zu keinem Zeitpunkt von irgend­welchen Dritten ausgenutzt wurde.»

Diese Antwort ist mehr als fragwürdig: Wenn Pentagrid sich nicht bei Viseca gemeldet und die Republik nicht weiter­recherchiert hätte, hätten die IT-Systeme vermutlich nie Alarm geschlagen. Es wäre möglich gewesen, in der entsprechenden URL – von Hand oder mit einem Programm – immer wieder drei bis vier Ziffern zu ändern und höchst­wahrscheinlich unentdeckt zu bleiben. Auf diesem Weg hätten die Daten auch herunter­geladen und eine Liste mit Abrechnungen angelegt werden können.

Dass ein solches Vorgehen machbar ist, hat Informatiker Simon Gantenbein schon in einer Republik-Recherche zum Online­banking von Postfinance aufgedeckt: Auch er konnte ungehindert eine Datenbank mit Postfinance-Kunden erstellen. Und knackte damit – zu Demonstrations­zwecken – gleich das Bank­geheimnis.

Mit einem blauen Auge davon­gekommen

Cyberattacken zählen zu den Top-Risiken für den Finanz­platz Schweiz. Die Schweizer Banken widmen ihrer Abwehr deshalb seit längerem grosse Aufmerksamkeit, was sich auch in der Gründung eines eigenen Cybersicherheits­zentrums zeigt.

Was ist das Fazit?

Viseca ist mit einem blauen Auge davon­gekommen. Zum einen, weil die Sicherheits­lücke offenbar nicht ausgenutzt worden ist. Zum anderen, weil sich für den Fall keine Behörde zuständig fühlt und deshalb auch keine Sanktionen drohen.

Ganz anders präsentiert sich die Lage für die amerikanische Technologie­lieferantin Fiserv: Für sie könnte der Vorfall durchaus Folgen haben. Fiserv hat nämlich einen wichtigen Sicherheits­standard für Kreditkarten­zahlungen nicht erfüllt: den Payment Card Industry Data Security Standard, auch PCI DSS genannt. Eine Sanktion seitens der Branchen­organisation PCI SSC ist deshalb nicht auszuschliessen.

Viseca kommt nach diesem Datenleck weiter nicht zur Ruhe. Erst vor einem Monat wurde eine andere Datenschutz­panne beim Kreditkarten­anbieter bekannt, die auf menschliches Versagen zurück­zuführen ist. Eine Privat­person verlangte eine Daten­auskunft bei Viseca. Ausgehändigt wurden ihr dann aus Versehen aber die Informationen zu einer anderen Person. Es handelte sich ausgerechnet um Martin Steiger, den erwähnten IT-Anwalt und Medien­sprecher der Digitalen Gesellschaft. Dieser dokumentierte den Fall darauf öffentlich.