Interrail-Datenleck: Sensible Daten Schweizer Reisender im Dark Web aufgetaucht

Ein massives Datenleck bei Eurail/Interrail betrifft tausende Schweizer Reisende. Namen, Passnummern und teilweise Bankdaten werden im Dark Web angeboten.

Massives Datenleck bei Eurail/Interrail

Anfang Januar 2026 wurde bekannt, dass bei Eurail B.V., dem Betreiber der beliebten Interrail- und Eurail-Pässe, ein schwerwiegendes Datenleck aufgetreten ist. Betroffen sind Kundinnen und Kunden aus ganz Europa — darunter zahlreiche Schweizer Reisende, die in den vergangenen Jahren einen Interrail- oder Eurail-Pass erworben haben.

Welche Daten wurden gestohlen?

Das Ausmass des Datenlecks ist erheblich. Folgende personenbezogene Daten wurden kompromittiert:

  • Namen und Adressen der Käuferinnen und Käufer
  • E-Mail-Adressen und Kontaktdaten
  • Pass- und ID-Nummern, die beim Kauf hinterlegt wurden
  • Ausweiskopien, die im Rahmen der Identitätsverifikation hochgeladen worden waren
  • Bankdaten und Zahlungsinformationen in Einzelfällen

Stand Februar 2026 werden die gestohlenen Datensätze aktiv im Dark Web zum Verkauf angeboten. Sicherheitsforscherinnen und -forscher haben bestätigt, dass die Daten authentisch sind und in strukturierter Form vorliegen — was sie für Identitätsdiebstahl besonders wertvoll macht.

Einordnung: Warum dieses Datenleck brisant ist

Die Kombination aus Ausweisdaten und persönlichen Informationen macht dieses Datenleck besonders gefährlich. Im Gegensatz zu reinen E-Mail-Leaks ermöglicht der Besitz von Passnummern und Ausweiskopien gezielte Identitätsbetrügereien: von der Eröffnung falscher Konten bis hin zu betrügerischen Kreditanträgen.

Für Schweizer Betroffene kommt hinzu, dass unter dem neuen Datenschutzgesetz (nDSG), das seit September 2023 in Kraft ist, Unternehmen eine Meldepflicht gegenüber dem EDÖB haben, wenn Persönlichkeitsverletzungen vorliegen. Eurail B.V. als niederländisches Unternehmen unterliegt zudem der EU-DSGVO — betroffene Schweizerinnen und Schweizer haben somit Ansprüche aus beiden Rechtsordnungen.

Versicherungsbezug: Drittschäden und regulatorische Risiken

Der Fall Eurail zeigt exemplarisch, warum Unternehmen, die sensible Kundendaten verarbeiten, eine Cyberversicherung benötigen. Eine umfassende Police deckt nicht nur die direkten Kosten eines Datenlecks (forensische Untersuchung, Benachrichtigung der Betroffenen, Krisenkommunikation), sondern auch Drittschäden — also Haftungsansprüche betroffener Kundinnen und Kunden. Regulatorische Bussgelder und die Kosten für Rechtsberatung im Zusammenhang mit nDSG- und DSGVO-Verfahren können schnell in die Hunderttausende gehen.

Auch für betroffene Privatpersonen kann eine Cyber-Zusatzversicherung wertvoll sein: Sie übernimmt Kosten für Kreditüberwachung und Rechtsberatung bei Identitätsdiebstahl.

Was Betroffene jetzt tun sollten

  1. Prüfen Sie Ihre E-Mails — Eurail sollte betroffene Kundinnen und Kunden direkt informiert haben
  2. Ändern Sie Passwörter auf allen Plattformen, auf denen Sie dieselben Zugangsdaten verwendet haben
  3. Überwachen Sie Kontobewegungen und melden Sie verdächtige Transaktionen sofort Ihrer Bank
  4. Erstatten Sie eine Meldung beim EDÖB, falls Sie Hinweise auf Missbrauch Ihrer Daten feststellen
  5. Evaluieren Sie eine Cyberversicherung — sowohl als Privatperson als auch als Unternehmen, das Kundendaten verwaltet

Haben Sie Fragen zu Cyberversicherungen?

Unsere Partner bei BTAG Versicherungsbroker AG beraten Sie gerne — kostenlos und unverbindlich. Kein Verkaufsdruck, nur Expertise.

Mehr erfahren Oder berechnen Sie zuerst Ihre Kosten

Ein Service der BTAG Versicherungsbroker AG, Bern — unabhängige Beratung seit 1990.

BTAG Versicherungsbroker AG Mitglied SIBA FINMA Register-Nr. 12229
Beratung anfragen →