Es war der 26. Dezember 2025. Während der Rest Europas das Weihnachtsessen verdaute und sich fragte, ob man wirklich noch ein Stück Zimtsterne braucht, war jemand anderes fleissiger. Ein unbefugter Akteur griff auf Eurails Netzwerk zu und transferierte Dateien aus den Systemen – zwei volle Monate, bis das Unternehmen überhaupt verstand, was in diesen Dateien steckte.k
Zwei Monate. Sechzig Tage. In dieser Zeit wurden die Daten analysiert, ausgewertet und zum Kauf angeboten. Und die betroffenen Kunden? Die sassen nichts ahnend zu Hause, buchten vielleicht den nächsten Interrail-Trip, freuten sich auf Europa – während ihre Passnummern, Geburtsdaten, Telefonnummern und Wohnsitzadressen im Darknet zum Verkauf standen und auf Telegram als Kostprobe zirkulierten. Eurail begann erst am 27. März 2026 damit, Betroffene zu informieren – drei Monate nach dem Einbruch, einen Monat nachdem die Daten bereits im Darknet aufgetaucht waren.
Die DSGVO schreibt eine Benachrichtigung innerhalb von 72 Stunden vor. Eurail benötigte 90 Tage. Man darf annehmen, dass die Rechtslage studiert, die Kommunikationsstrategie optimiert und der Schaden für das Unternehmensimage sorgfältig kalkuliert wurde. Die 308’777 betroffenen Personen kamen in dieser Rechnung offenbar etwas später dran.
Die Liste der gestohlenen Datentypen liest sich wie der Wunschzettel eines Identitätsbetrügers: Name, Geburtsdatum, Passnummer, Telefonnummer, Wohnsitzland – und in manchen Fällen auch Gesundheitsdaten, wobei Eurail bislang nicht erklärt hat, warum ein Zugticket-Anbieter überhaupt Gesundheitsdaten benötigt. Eine interessante Frage, auf die bisher keine befriedigende Antwort erfolgt ist.
Besonders pikant ist die Beteiligung des DiscoverEU-Programms der Europäischen Kommission – jenes Projekts, das 18-jährigen Europäern kostenlose Interrail-Pässe zum Kennenlernen des Kontinents schenkt. Seit 2018 wurden über 800’000 solcher Pässe verteilt und die Daten der Teilnehmer laufen durch Eurails Systeme. Junge Menschen, die der EU vertrauten, ihre Daten hinterlegt haben, Europa entdecken wollten – und deren Passnummern nun möglicherweise in kriminellen Kreisen kursieren. Ein schönes Willkommensgeschenk zum Erwachsenwerden.
Und hier beginnt die eigentliche Geschichte, die über einen Bahnticket-Anbieter weit hinausgeht.
Die Schweiz hat die e-ID eingeführt. Die digitale Identität, das elektronische Pendant zum physischen Pass, das grosse Versprechen der modernen Verwaltung: alles einfacher, alles schneller, alles vernetzt. Bankkonto, Steuererklärung, Arzttermin, Behördengänge – mit einem einzigen digitalen Schlüssel. Praktisch. Fortschrittlich. Unvermeidlich, wie man uns erklärt.
Der Eurail-Hack demonstriert mit der Eleganz eines Vorschlaghammers, was das bedeutet: Wer die digitale Identität zentralisiert, schafft einen singulären Angriffspunkt. Wer alle Schlüssel auf einem Schlüsselbund vereint, riskiert, dass beim Diebstahl dieses Schlüsselbunds alle Türen gleichzeitig offenstehen. Ein gestohlener physischer Pass ist ein ernstes Problem – aber er öffnet eine Tür. Eine kompromittierte e-ID öffnet potenziell alle.
Der Angreifer hatte Zugriff auf AWS S3-Speicherbereiche, das Zendesk-Supportsystem und GitLab-Repositories — also nicht nur Kundendaten, sondern Quellcode, Infrastruktur-Zugangsdaten und interne Kommunikation. Das ist nicht der Hack einer einzelnen Datenbank. Das ist der Totalzugriff auf eine Infrastruktur. Genau das, was bei einer e-ID-Infrastruktur auf staatlicher Ebene noch ungleich verheerendere Konsequenzen hätte – weil dort nicht Zugtickets, sondern Existenzen hängen.
Der digitale Mensch der Zukunft hat keine Identität mehr in dem Sinne, den wir kennen. Er hat einen Datensatz. Dieser Datensatz existiert auf Servern, die von Unternehmen oder Behörden betrieben werden, die ihrerseits Dienstleister beauftragen, die wiederum Infrastruktur mieten. Jede dieser Schnittstellen ist ein potenzieller Eurail-Moment. Jedes Update, jede Migration, jede ungeschlossene Sicherheitslücke ist eine offene Flanke. Eurail ist kein Startup, das Ecken abschneidet – es ist kritische EU-gestützte Infrastruktur, die Passnummern neben Quellcode auf demselben Netzwerk gespeichert hatte, das ein Angreifer in einer einzigen Session plündern konnte.
Man stelle sich dieselbe Sorgfalt auf e-ID-Ebene vor. Passnummer, Steuernummer, Krankengeschichte, Bankverbindung, Wohnadresse, biometrische Daten – auf einem Schlüsselbund, verwaltet von einem Konsortium, entdeckt nach zwei Monaten, kommuniziert nach drei, während die Daten längst verkauft sind. Das ist keine Dystopie. Das ist die logische Extrapolation dessen, was bei Eurail bereits stattgefunden hat.
Die Antwort der Behörden auf solche Vorfälle ist stets dieselbe: Passwort ändern, Konten überwachen, vorsichtig bei verdächtigen E-Mails sein. Als ob die 308’777 betroffenen Interrail-Kunden ihre Passnummer zurückbekämen, wenn sie das Passwort ihrer Rail-Planner-App erneuern. Als ob Identitätsbetrug sich durch erhöhte Wachsamkeit beim E-Mail-Lesen verhindern liesse, wenn die eigene Passnummer bereits auf einem Darknet-Marktplatz für einige hundert Dollar angeboten wird.
Die eigentliche Frage, die niemand laut stellt, lautet: Warum sammeln digitale Systeme systematisch mehr Daten, als sie für ihre Kernfunktion benötigen? Warum benötigt ein Zugticket-Anbieter Gesundheitsdaten? Warum werden Passnummern von 18-Jährigen gespeichert, die lediglich ein Gratisticket bekommen haben? Und warum akzeptieren wir als Gesellschaft, dass die Antwort auf jeden Datendiebstahl lautet, man solle künftig noch mehr Daten an noch mehr zentrale Stellen übermitteln – weil die digitale Identität nun mal der Weg der Zukunft sei?
Der Weg der Zukunft. Eurails Kunden sind bereits angekommen.
Sie wurden nur leider nicht gefragt, ob sie mitfahren wollten…
«Dravens Tales from the Crypt» bezaubert seit über 15 Jahren mit einer geschmacklosen Mischung aus Humor, seriösem Journalismus – aus aktuellem Anlass und unausgewogener Berichterstattung der Presse Politik – und Zombies, garniert mit jeder Menge Kunst, Entertainment und Punkrock. Draven hat aus seinem Hobby eine beliebte Marke gemacht, welche sich nicht einordnen lässt.
Mein Blog war niemals darauf ausgelegt Nachrichten zu verbreiten, geschweige denn politisch zu werden, doch mit dem aktuellen Zeitgeschehen kann ich einfach nicht anders, als Informationen, welche sonst auf allen anderen Kanälen zensiert werden, hier festzuhalten. Mir ist dabei bewusst, dass die Seite mit dem Design auf viele diesbezüglich nicht «seriös» wirkt, ich werde dies aber nicht ändern, um den «Mainstream» zu gefallen. Wer offen ist, für nicht staatskonforme Informationen, sieht den Inhalt und nicht die Verpackung. Ich habe die letzten 2 Jahre genügend versucht, Menschen mit Informationen zu versorgen, dabei jedoch schnell bemerkt, dass es niemals darauf ankommt, wie diese «verpackt» sind, sondern was das Gegenüber für eine Einstellung dazu pflegt. Ich will niemandem Honig ums Maul schmieren, um auf irgendwelche Weise Erwartungen zu erfüllen, daher werde ich dieses Design beibehalten, denn irgendwann werde ich diese politischen Statements hoffentlich auch wieder sein lassen können, denn es ist nicht mein Ziel, ewig so weiterzumachen 
Ich überlasse es jedem selbst, wie er damit umgeht. Gerne dürfen die Inhalte aber auch einfach kopiert und weiterverbreitet werden, mein Blog stand schon immer unter der WTFPL-Lizenz.
Es fällt mir schwer zu beschreiben, was ich hier eigentlich tue, DravensTales wurde im Laufe der Jahre Kulturblog, Musikblog, Schockblog, Techblog, Horrorblog, Funblog, ein Blog über Netzfundstücke, über Internet-Skurrilitäten, Trashblog, Kunstblog, Durchlauferhitzer, Zeitgeist-Blog, Schrottblog und Wundertütenblog genannt. Was alles etwas stimmt… – und doch nicht. Der Schwerpunkt des Blogs ist zeitgenössische Kunst, im weitesten Sinne des Wortes.
Um den Betrieb der Seite zu gewährleisten könnt ihr gerne eine Spende per Kreditkarte, Paypal, Google Pay, Apple Pay oder Lastschriftverfahren/Bankkonto zukommen lassen. Vielen Dank an alle Leser und Unterstützer dieses Blogs!
