Interview

«Alles deutet auf einen Rachetäter hin»

Beim Datenklau bei der Swisscom deutet laut Peter Cosandey, Ex-Staatsanwalt und Experte für Wirtschaftsdelikte, alles auf einen Mitarbeiter als Täter hin, der sich am Unternehmen rächen wollte.

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Herr Cosandey, die Swisscom hat ein Datenleck – und hat das erst entdeckt, als die Datenträger bei der NZZ aufgetaucht sind. Hat die Swisscom geschlampt?
Das kann ich nicht sagen, dafür haben wir noch zu wenig Informationen. Die Swisscom ist eine wichtige Anbieterin von IT-Dienstleistungen und betreibt grosse Rechenzentren. Grundsätzlich ist davon auszugehen, dass sie diese gemäss gängigen Sicherheitsstandards schützt. Ausserdem werden ständig irgendwo Daten gestohlen und nur in den wenigsten Fällen bekommen das die Unternehmen überhaupt mit.

Und wer könnte hinter einem solchen Diebstahl stecken?
Die grösste Gefahr geht immer von den eigenen Mitarbeitern aus. Das haben auch die jüngst bekannt gewordenen Fälle gezeigt. Etwa der Mitarbeiter des Schweizer Nachrichtendienstes, die Affäre Edward Snowden oder die CDs mit Bankkundendaten im Steuerstreit.

Soweit bekannt, wollte der Datendieb allerdings kein Geld. Was kann das bedeuten?
Im Moment deutet alles auf einen Rachetäter hin. Ein Mitarbeiter, der dem Unternehmen schaden wollte und die Daten darum an die Medien weitergeleitet hat. Bereicherung als Hauptmotiv ist im Moment nicht ersichtlich. Auch dass jemand die Datenträger zufällig gefunden hat, ist eher unwahrscheinlich. Und auch dass mit dieser Aktion auf einen Missstand innerhalb der Swisscom hingewiesen werden soll, ist nicht ersichtlich.

Stellt sich nicht doch die Frage, ob die Daten ausreichend geschützt worden sind?
Ja, und das wird sich auch bei der Suche nach dem Täter zeigen. Im Idealfall gilt während einer solchen Zerstörungsaktion die ganze Zeit das Vier-Augen-Prinzip. Ein Mitarbeiter ist nie allein. Jede einzelne Kassette sollte registriert werden, wenn man sie aus dem Roboter nimmt. Bei jeder Übergabe – beim Transport, im Lager, beim Schreddern – sollte der Empfang nicht einfach quittiert, sondern jede einzelne Kassette kontrolliert werden. Nur falls das geschehen ist, kann man nachvollziehen, ob die Kassetten wirklich erst beim Entsorgen gestohlen wurden.

Was genau passiert bei einer solchen Untersuchung?
In diesem Fall wurden die Bänder physisch gestohlen. Es gab also keinen Hackerangriff. Um dem Täter auf die Spur zu kommen, muss man versuchen, den Zeitpunkt des Diebstahls einzugrenzen. Und dazu muss man den Prozess der Vernichtung möglichst genau nachvollziehen. Vielleicht stösst man dabei auf Schwachstellen im Ablauf. Vielleicht waren die Bänder zwischendurch unbeaufsichtigt. Man versucht nachzuvollziehen, welche Mitarbeiter an welchem Schritt beteiligt waren, wer wo Zugang hatte. Falls der Zutritt über einen Mitarbeiter- oder Besucher-Badge erfolgte, überprüft man die Logfiles. Man schaut sich an, ob Mitarbeitende mit Risikofaktoren involviert waren – Alkoholiker, solche, die nicht befördert wurden, Leute in gekündigter Stellung. Jeder, der aussieht, als ob er der Firma hätte schaden wollen. Und trotz alledem wird es unter Umständen schwierig, die Täterschaft zu ermitteln.

Gemäss dem, was man heute weiss: Hätte die Swisscom den Diebstahl verhindern können?
Das lässt sich nicht sagen. Grundsätzlich gilt jedoch, dass man sich als Unternehmen nie vollständig vor seinen eigenen Mitarbeitenden schützen kann. Wenn diese genug kriminelle Energie haben und nach einer Schwachstelle suchen, findet sich eigentlich immer etwas. Zum Beispiel bringt ein Vier-Augen-Prinzip nichts, wenn die Mitarbeitenden, die sich eigentlich gegenseitig überwachen sollten, Komplizen sind.

Welche Konsequenzen hat der Fall für die Swisscom?
Am gravierendsten ist im Moment bestimmt der Reputationsschaden. Immerhin geht es nicht nur um die Daten der Swisscom, sondern möglicherweise auch um Daten von Firmenkunden. Die entscheidende Frage ist nun, wie gross die Verunsicherung bei den Kunden ist. Und das wiederum hängt auch davon ab, was die Untersuchungen bei der Swisscom ergeben werden. Dass ein materieller Schaden entstanden ist, ist eher unwahrscheinlich. Die Informationen sind relativ alt, mit einer Einladung zum Apéro kann man niemanden erpressen. Aber wer weiss, aus der Konstellation heraus könnte sich theoretisch schon eine gewisse Brisanz ergeben. (Tagesanzeiger.ch/Newsnet)

Erstellt: 18.09.2013, 12:31 Uhr

Zur Person

Peter Cosandey ist seit 25 Jahren spezialisiert auf Wirtschaftskriminalität. Erst als Staatsanwalt, später baute er die Forensik-Abteilung einer grossen Anwaltskanzlei auf und heute berät er Banken und Finanzdienstleister, nationale und multinationale Unternehmen.

Artikel zum Thema

Geheime Daten-Tapes der Swisscom entwendet

14'500 E-Mails und 600'000 Telefonnummern: Mehrere Datenkassetten der Swisscom wurden gestohlen und der NZZ zugespielt. Mehr...

Der grösste Datenklau aller Zeiten bleibt unbehelligt

Der Dieb im Nachrichtendienst des Bundes entwendete eine Datenmenge im «Tera-Bereich». Die Politik bleibt erstaunlich inaktiv. Doch Beispiele zeigen, wie gravierend die Folgen für die Schweiz hätten sein können. Mehr...

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Service

Ihre Kulturkarte

Abonnieren Sie den Carte Blanche-Newsletter und verpassen Sie kein Angebot.

Weiterbildung

Lohncheck in Pflegeberufen

Qualifiziertes Pflegepersonal ist rar. Eine Pflegeinitiative setzt sich darum für höhere Löhne ein.

Die Welt in Bildern

Fakelträger: Junge Ungaren ziehen in Erinnerung an die Studentenproteste von 1956 durch die Strassen von Budapest. (22. Oktober 2018)
(Bild: Szilard Koszticsak) Mehr...