Swisscom-Leck: «Fahrlässig, wie die Daten gesichert waren»

Bei den gestohlenen 800'000 Kundendaten handle es sich um sensible Informationen, kritisiert der Zürcher Datenschützer die Swisscom.

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Unbekannte haben sich im Herbst 2017 missbräuchlich die Kontaktangaben von rund 800'000 Swisscom-Kunden verschafft. Sie hatten dafür die Zugriffsrechte eines Vertriebspartners des Telekomriesen entwendet. Die verschärft nun die Sicherheitsmassnahmen.

Betroffen sind laut Swisscom Name, Adresse, Telefonnummer und Geburtsdatum, wie es in einer Mitteilung vom Mittwoch heisst. Es handle sich also grösstenteils um Kontaktdaten, die öffentlich oder über Adresshändler verfügbar seien.

«Unklar, was mit den Daten passiert»

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) Adrian Lobsiger gibt sich mit der Reaktion der Swisscom auf den Vorfall zufrieden. «Nachdem der Sachverhalt erstellt ist, die Swisscom die notwendigen Abklärungen und Massnahmen getroffen und die betroffenen Personen informiert hat, besteht für den EDÖB aufgrund der aktuellen Kenntnislage keine Veranlassung zu Einleitung formeller Schritte», erklärte er per Pressemitteilung.

Der Datenschutzbeauftragte des Kanton Zürich, Bruno Baeriswyl, ist da kritischer. «Ich finde es etwas fahrlässig, dass diese Kundendaten nur mit einem Login und einem Passwort gesichert waren», erklärte er Tagesanzeiger.ch/Newsnet. «Das hat mich erstaunt.» Es ginge immerhin um 800'000 Personendaten, die nun Datendieben in die Hände gefallen seien. Zudem sei derzeit vollkommen unklar, was damit passiere.

Die Swisscom hatte in ihrer Stellungnahme darauf verwiesen, dass es sich bei den gestohlenen Daten wie Name, Geburtsdatum und Telefonnummer um «nicht besonders schützenswerte Personendaten» gemäss dem Datenschutzgesetz handele. «Diese formalistische Argumentation teile ich nicht. Das sind sensible Daten, deshalb wollen Nutzer sie immer weniger in öffentlichen Verzeichnissen eintragen», sagt Baerswyl und ergänzt: «Die Daten hätten besser geschützt werden müssen.»

«Tut uns leid»

«Wir konnten nicht feststellen, dass nach dem Datendiebstahl irgendetwas Negatives passiert ist,» sagt Swisscom-Chef Urs Schaeppi. «Der Vorfall tut uns leid. Wir haben nun die Sicherheitsmassanhmen erhöht.»

«Im Nachhinein müssen wir sagen: Wir hätten das System besser schützen sollen», so das Eingeständnis von Philippe Vuilleumier, Chef der Gruppensicherheit. Laut Vuilleumier habe der Unbekannte mit automatisiertem System auf die Daten zugegriffen, «es wurde eine IP-Adresse aus Frankreich verwendet.» Die Swisscom habe zwar die Daten selbst noch, «aber auch der unbekannte Dritte».

So etwas dürfe nicht mehr vorkommen, ergänzt Vuilleumier. Die Swisscom könne versichern, dass so etwas nicht mehr vorkommen kann.

Weshalb die Swisscom erst Monate später über den Vorfall informiert hat, erklärt Vuilleumier folgendermassen: «Wir wollten den Fall zuerst abklären. Als wir sahen, dass kein weiterer Schaden angerichtet wurde, wollten wir zuerst die Sicherheitsmassnahmen erhöhen und erst dann informieren.»

Keine sensible Daten entwendet

Die Vertriebspartner der Swisscom dürfen auf solche Personendaten beschränkt zugreifen, damit sie die Kunden identifizieren, beraten und Kundenverträge abschliessen oder anpassen können.

Nicht betroffen vom Datenleck sind Passwörter, Gesprächs- oder Zahlungsdaten. Hier griffen seit langem strengere Schutzmechanismen, hält die Swisscom fest. Trotzdem habe die Aufklärung dieses Falls für die Swisscom höchste Priorität. Als Sofortmassnahme sperrte der Konzern die betroffenen Zugänge der Partnerfirma. Zudem werden Zugriffe durch Partnerfirmen neu stärker überwacht, bei ungewöhnlichen Aktivitäten wird ein Alarm ausgelöst und die Zugriffe gesperrt.

Weiter werden grössere Abfragen von sämtlichen Kundenangaben künftig technisch unterbunden. 2018 wird für alle notwendigen Datenzugriffe von Vertriebspartnern eine Zwei-Faktor-Authentisierung eingeführt.

Rechtliche Schritte werden geprüft

Die Swisscom habe den Vorfall im Rahmen einer routinemässigen Überprüfung der Betriebsaktivitäten entdeckt und detailliert intern untersuchen lassen, heisst es weiter. Der Telekomanbieter betont, dass das System nicht gehackt wurde. Login und Passwort seien letzten September einem Vertriebspartner entwendet worden. Die Swisscom prüft alle rechtlichen Schritte und behält sich eine Strafanzeige vor.

Auch der eidgenössische Datenschutzbeauftragte wurde informiert. Über die Täterschaft wisse die Swisscom heute nichts, sagte Vuilleumier in einem Interview auf der Swisscom-Internetseite. Die forensischen Ermittlungen hätten bisher ergeben, dass die Täter eine französische IP-Adresse nutzten.

«Wir bedauern den Vorfall – das entspricht auch nicht den Anspruch, den wir an uns selber haben», sagte Vuilleumier weiter. Die Swisscom habe nun alle Massnahmen eingeleitet, dass die in dieser Form nicht mehr passiere.

Kein Anstieg von Werbeanrufen

Es bestünden keine Hinweise darauf, dass die Kunden einen Schaden erlitten, heisst es in der Mitteilung. Bis heute habe die Swisscom keinen Anstieg von Werbeanrufen oder anderen Aktivitäten zum Nachteil der betroffenen Kunden festgestellt.

Mobilfunkkunden können eine SMS mit dem Stichwort «Info» an die Nummer 444 senden und damit feststellen, ob ihre Daten betroffen sind.

Die Swisscom rät allen Kunden generell zur Vorsicht bei ungewöhnlichen Kontaktaufnahmen oder Marketinganrufen. Ungewöhnliche Vorkommnisse können der Swisscom gemeldet werden. (nag/SDA)

Erstellt: 07.02.2018, 09:28 Uhr

Artikel zum Thema

Swisscom verdient 1,57 Milliarden und baut 700 Stellen ab

Die Swisscom musste 2017 einen Gewinnrückgang hinnehmen. 684 Stellen wurden abgebaut. Bis Ende Jahr sollen 700 weitere folgen. Mehr...

Das sagt die Swisscom zur Pannenserie

Interview Es ist erst Januar, doch Swisscom-Kunden mussten 2018 bereits wiederholt Störungen hinnehmen. Nun äussert sich eine Sprecherin. Mehr...

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Weiterbildung

Lohncheck in Pflegeberufen

Qualifiziertes Pflegepersonal ist rar. Eine Pflegeinitiative setzt sich darum für höhere Löhne ein.

Kommentare

Service

Ihre Kulturkarte

Abonnieren Sie den Carte Blanche-Newsletter und verpassen Sie kein Angebot.

Die Welt in Bildern

Ganz schön angeknipst: Ein Mitglied des Bingo Zirkus Theater steht anlässlich des 44. internationalen Zirkusfestivals in Monte Carlo auf der Bühne. (16. Januar 2020)
(Bild: Daniel Cole ) Mehr...