Swisscom: 800.000 Kundendaten in Tunesien geklaut

Recherchen haben ergeben, dass über eine Marketing-Firma in Tunesien die Kundendaten von 800.000 Swisscom-Kunden geklaut wurden. Der Fall zeigt wieder einmal, dass man kaum noch verhindern kann, dass persönliche Daten abfließen. Prinzipiell war der Fall bereits 2018 an die Öffentlichkeit gelangt. Brisant wird das Ganze, weil nun Papiere offengelegt werden mussten, die zeigten, wie die Verantwortlichen hinter den Kulissen agierten, um das Ganze geheim zu halten.


Anzeige

Blog-Leser Adrian W. hat mich vor einigen Tagen per Mail über diesen Vorgang informiert (vielen Dank dafür). Adrian hat mir noch einen Link zu diesem Artikel zukommen lassen. Die Recherche von 20 Minuten hat diesen Schweizer Datenskandal aufgedeckt, der ein Schlaglicht auf die Praktiken einer Branche und speziell von Swisscom wirft.

Datenabfluss durch Outsourcing in 2017

Es war im Jahr 2017, als ein Partner-Unternehmen des Telefonanbieters Swisscom unerlaubt die Zugangsdaten für den Zugriff auf Swisscom-Kundenstammdaten an eine Schweizer Telemarketing-Firma gegeben haben. Der Zweck dieses Geschäfts: Die Telemarketing-Firma sollte die Kundschaft für Marketingzwecke zu kontaktieren.

Und weil Geschäfte oft nicht nur krumm sind, sondern auch noch billig sein sollen, hat ebendiese Schweizer Telemarketing-Firma den Job an einen Unterauftragnehmer in Tunesien weitergereicht. Aus Tunesien wurde dann in Nacht-und-Nebelaktionen über diese Zugangsdaten auf die Swisscom-Daten der Kunden zugegriffen. Ob da etwas gehackt wurde oder die Zugangsdaten einfach einem "guten Freund" überlassen wurden, geht aus der Berichterstattung nicht hervor.

Bekannt ist, dass die Abfragen ab Ende August 2017 nachts über französische Server gelaufen sind. Ein Bericht führt aus, dass teilweise bis zu 100'000 Abfragen pro Nacht erfolgten. Am Ende des Tages waren 800.000 Datensätze von Kunden abgeflossen.  Laut Swisscom will man von diesem Geschäft nichts gewusst haben.

Öffentlichkeit 2018 informiert

Der Swisscom sind diese Datenabrufe aufgefallen, laut dem obigen Artikel soll das Unternehmen Ende Dezember 2017 den Eidgenössischen Datenschutzbeauftragten (EDÖB) Adrian Lobsiger über den Abfluss der Kundendaten informiert haben.

Swisscom informierte die Öffentlichkeit aber erst im Februar 2018. Von der Swisscom hieß es seinerzeit, die gestohlenen Daten – Namen, Telefonnummern, Adressen oder Geburtsdaten – seien "nicht besonders schützenswert".

Der Skandal hinter dem Skandal

Nach der Veröffentlichung des Sachverhalts, dass die Daten von 800.000 Swisscom-Kunden nach Tunesien abgeflossen sind – die Swisscom aber "wir wussten von nix" propagierte, begann die Redaktion von 20 Minuten mit Recherchen und stellte ein Auskunftsersuchen beim Edöb. Das Edöb stimmte dem Auskunftsersuchen grundsätzlich zu, weil ein besonderes Informationsinteresse der Öffentlichkeit bestehe. Zudem, zitiert 20 Minuten die Edöb, handle sich um ein wichtiges Vorkommnis, weshalb die Dokumentation der Aufsichtstätigkeit öffentlich zugänglich sein müsse.

Glatt ging das nicht über die Bühne, denn die Swisscom versuchte die Dateifreigabe auf juristischem Weg zu verhindern und ging bis vor das Schweizer Bundesgericht. Das Unternehmen verwies in seiner Beschwerde etwa auf Geschäftsgeheimnisse oder Reputationsrisiken, die in Zusammenhang mit der Veröffentlichung entstehen würden.


Anzeige

Am Ende des Tages wurden die Dokumente freigegeben und man erkennt, was unter "Reputationsrisiken" zu verstehen ist. Vertrat die Swisscom 2018 in der Öffentlichkeit die Position "wir haben nix gewusst, und die Daten waren nicht so wichtig" – zitiert 20 Minuten aus Unterlagen des Schweizer Datenschutzbeauftragten Edöb folgende Einschätzung der Swisscom:

Gestohlen wurden gemäß Datenschutzgesetz «nicht besonders schützenswerte Daten» wie Name, Telefonnummer, Adresse und Geburtsdatum.

Aus den freigegebenen Papieren des Schweizer Datenschutzbeauftragten geht noch mehr Brisantes hervor. Der Bericht an den Datenschutzbeauftragten war mit Geheim versehen und trug am Schluss unter "Fazit und weitere Schritte" folgendes vor:  Man tendiere dazu, weder Betroffene noch die Öffentlichkeit über den Vorfall zu informieren.

Ich gestehe, ich bin doch arg blauäugig gewesen, dachte die Schweizer wären durch und durch redlich. Der Datenschutzbeauftragte hat sich einige Gesprächsnotizen über den Fall angelegt. Die Behauptung der Swisscom, nichts gewusst zu haben, wird in den Notizen widerlegt. Dort heißt es, dass die Swisscom darüber im Bild war, dass ihr Vertriebspartner eine Zusammenarbeit mit einem Subunternehmer in Tunesien pflegt. Der Schluss des Edöb: «Deshalb habe die Swisscom auch gewusst, dass Daten nach Tunesien übermittelt würden».

Aber die Swisscom bestreitet weiterhin, etwas von der Weitergabe gewusst zu haben und zieht sich auf die Position, dass das alles nicht vertragskonform gewesen sei, zurück. Im Vertrag zwischen der Swisscom und ihrem Schweizer Partner gab es keine Vereinbarung betreffend Subcontracting oder Datenweitergabe nach Tunesien. Juristisch bedeutet das, dass die Weitergabe der Login-Informationen mit Zugriff auf die Daten weder genehmigt noch untersagt gewesen war. Die Swisscom ist damit zwar aus der Sache etwas raus, trägt aber die gegenüber ihren Kunden die Verantwortung für alle Datenverletzungen.

Swisscom wollte die betroffenen Kunden partout nicht über den Datendiebstahl informieren. Der Datenschutzbeauftragte musste dann, so gehe aus den  Dokumenten hervor,  mehrfach bei Swisscom nachfassen, bis diese die Öffentlichkeit informierten. «Im Zuge unserer aufsichtsrechtlichen Beratung wiesen wir die Swisscom darauf hin, dass sich aus dem Datenschutzgesetz ein Anspruch der Kunden ergibt, transparent darüber informiert zu werden, was mit ihren Daten geschehen ist», wird der Datenschützer Lobsiger von 20 Minuten zitiert.

Die Swisscom-Verantwortlichen informierten dann im Februar 2018 die Öffentlichkeit, man betonte aber, dass das System nicht gehackt und die Sicherheit für Kundendaten erhöht worden sei. Zugriffe durch Partnerfirmen würden neu stärker überwacht und bei ungewöhnlichen Aktivitäten werde ein Alarm ausgelöst. Zudem hielt die Swisscom fest, sie habe keinen Anstieg von Werbeanrufen oder anderen Aktivitäten zum Nachteil der betroffenen Kunden festgestellt. Ob das die Schweizer Kunden von Swisscom auch so sehen? Details sind im 20 Minuten-Artikel nachzulesen. Interessant ist auch der Kommentar eines Nutzers mit dem Alias DaFragIchMich vom 8. April 2021:

Hm, wie viele der Kommentarschreiber hier haben eigentlich mehr als die Überschrift gelesen? Es geht um das Datenleck von 2017, das Anfang 2018 kommuniziert wurde und breit durch die Presse ging. Wird nur nochmal mit reisserischem Titel aufgewärmt. Aber wer sich grad über alte Datenlecks auslassen will, kann beim "jüngsten" Facebook-Leak gleich weitermachen. Bei 1.5 Millionen Schweizer Datensätzen ist die Chance auch nicht schlecht, dass man selber dabei ist. Und die Daten sind bei jedem, der sich die öffentlich verfügbare Leak-Datei besorgt. Einfach mal suchen nach: "nach-hackerangriff-facebook-datenleck-sind-sie-betroffen"

Da frag ich mich: hat man da noch Worte und ist der Betreffende mit dem Klammerbeutel gepudert worden. Wenn der den Schuss immer noch nicht gehört hat, muss ich wohl meine Theorie, dass alle Schweizer ehrliche und aufrichtige Kerle sind, mal überdenken.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

10 Antworten zu Swisscom: 800.000 Kundendaten in Tunesien geklaut

  1. Meinrad sagt:

    Wir Schweizer sind grundsätzlich schon ehrlich, aber auch verschwiegen. :)

    Schlimmer als der Missbrauch bzw. das Absaugen der Daten finde ich, dass das so einfach möglich war. Das war so gewollt, denn die Partner sollten mit wenigen Eingaben einen Kunden finden und sehen können, was für Dienste er abonniert hat. Es reichten wenige Informationen. Telefonnummer und Geburtsdatum, Telefonnummer und Name etc. und schon hatte man Zugriff auf die kompletten Kundendaten. Es gab Gerüchte, dass die Informationen immer mal wieder für amouröse Annäherungen (sprich: Stalking) verwendet wurden.

    Denn die Abfragen wurden nicht protokolliert und Swisscom-Partner wird man recht schnell, das braucht keine Personen-Sicherheitsüberprüfung oder so.

    Neu muss man mehr Daten eingeben, um einen Kunden zu suchen und die Abfragen werden protokolliert. Bei Missbrauch verliert man den Partner-Status.

  2. Foegi sagt:

    Hier ein Datenleck, dort ein Datenleck und Otto Normalbürger wundert sich warum sein Postfach mit Spam- und sonstigen dubiosen Mails vollgemüllt wird oder unerwünschte Nachrichten und Anrufe bekommt obwohl er seine Daten nur an 'seriösen' Firmen weitergibt.
    Aber dank der zahnlosen DSGVO dürfen wir uns dafür auf jeder Webseite über Cookie-Infos ärgern und wegklicken. Geschweige vom Aufwand die teilweise realitätsfremden DSGVO Richtlinien in der Firma umzusetzen bei dem so manch IT-Firma ordentlich daran verdient haben dürfte.

    • mvo sagt:

      Zum einen geht es hier um die Schweiz und Tunesien, für die die DSGVO überhaupt nicht anwendbar ist, zum anderen halte ich diese unsachliche Pauschalkritik an der DSGVO für absurd. Die DSGVO hat in den Unternehmen überhaupt erst ein Bewusstsein für Datenschutz geschaffen und durchaus beeindruckende Erfolge erzielt. Zwar war Datenschutz (zumindest in Deutschland) bereits im BDSG geregelt, wurde aber meist nur als lästige Handlungsempfehlung gesehen und weitestgehend ignoriert. Besonders durch die hohen Bußgelder hat die DSGVO dafür gesorgt, dass die Unternehmen das Thema überhaupt ernst nehmen. Wer sich als Unternehmen über die DSGVO echauffiert zeigt lediglich, dass er bereits das BDSG weitestgehend missachtet hat. Zudem ist kein Webseitenbetreiber verpflichtet Cookies zu setzen. Wir haben z.B. von allen Webseiten die Cookies entfernt. Das wenige, was darüber erhoben wurde, war sowieso wenig aussagekräftig und es hat sich sowieso niemand angesehen. Das mag in anderen Branchen sicher anders sein. Dann muss man halt nur die Regeln einhalten.

      • Foegi sagt:

        Ich sehe das ganze von beiden Seiten, einmal von Anwenderseite und einmal als ITler.
        Ihrer Aussage nach ist die DSGVO für sämtliche Datenlecks der letzten Wochen/Monate nicht zuständig. Ist aus Anwendersicht schon mal sehr befriedigend.

        Ich bin mir 100% sicher, wenn ich in ihren Betrieb die DSGVO Bestimmungen Punkt für Punkt abklopfen würde, einige nicht erfüllt sein werden weil praxis- und realitätsfremd.
        Das die Strafen bei den schwarzen Schafen ein Bewusstsein für den Datenschutz geschaffen haben mag ich nicht in Abrede stellen aber es haben für meinen Geschmack zuviele Firmen daran eine goldene Nase verdient aus oben genannten Grund.

        • mvo sagt:

          "Ihrer Aussage nach ist die DSGVO für sämtliche Datenlecks der letzten Wochen/Monate nicht zuständig. "
          Das ist meiner Aussage auf keinster Weise zu entnehmen. Die DSGVO verhindert Datenlecks natürlich genauso wenig wie das Strafgesetzbuch Verbrechen verhindert. Wenn jemand im Zuge der DSGVO Einführung Dienstleistern die "Nase vergoldet" hat, dann nur, weil er sich vorher einen Dreck um Datenschutz gekümmert hat und daher bei Null anfangen musste, sich mit der Materie Null auseinandergesetzt hat und sich entsprechen hat bequatschen lassen oder weil er einfach zu faul war, sich selbst um einen rechtskonformen Geschäftsbetrieb zu kümmern.

  3. hansi sagt:

    Abstreiten, verharmlosen, vertuschen und unter den Teppich kehren ist in der Schweiz die übliche Vorgehensweise.

    • innocent bystander sagt:

      Deshalb liegen die Teppiche in der Chefetage so hoch: Da wird alles drunter gekehrt, was "nicht passt". Ich würde das aber nicht als typisch Schweizerische Eigenschaft bezeichnen, sondern eher als einen eklatanten Mangel einer Fehlerkultur, bei welcher nicht primär nach "Schuldigen" sondern nach Verbesserungen gesucht wird.

  4. Manuhiri sagt:

    Es geht in Zukunft viel einfacher. Microsoft möchte "Nuance Communications" übernehmen. Was die können?
    Sie wandeln z.B. das Gespräch zwischen Arzt und Patient in Text um, um diesen dann zum Wohle des Pateinten in die Patientenakte einzufügen, die dann in die Cloud wandert…

    Bei einer 'Nuance' handelt es sich lt. Wiki um eine Schattierung, Kleinigkeit, Abstufung, Feinheit. Puhhh, dann bin ich wieder beruhigt ich dachte schon, es wäre was Schlimmes.

    • mvo sagt:

      Ein Gespräch (nicht nur zwischen Arzt und Patient) ist vertraulich und eine Aufzeichnung ohne Einverständnis der Beteiligten nach StGB § 201 strafbar. Das sollte man bei solchen an die Wand gemalten Schreckensszenarien doch bitte berücksichtigen.

  5. Manuhiri sagt:

    "Das Gespräch" findet über den Umweg einer Maske Eingang in die EPA. Der NHS ist hier schon weiter:

    "… Deshalb hat Nuance in enger Zusammenarbeit mit dem Inhouse-Schulungsteam das Personal im Umgang mit Spracherkennung geschult. Das medizinische Personal lernte, wie sie mit Dragon sofort elektronische Patientenakten befüllen können und ausführlichere und genauere Berichte erstellen. Das administrative Personal wurde an neue Aufgaben herangeführt, um das Patientenaufkommen und den Patientenfluss besser zu steuern …"

    Ich habe mich ein bißchen eingegraben, auch auf Deutsch sehr beeindruckend der Auftritt, es scheint um viel Geld zu gehen, vielleicht führt ein Umweg z.B. über Alexa zu weiterer Aufhellung.

    https://www.nuance.com/de-de/healthcare/physician-and-clinical-speech/dragon-medical-advisor.html

    Für mich passen EPA/Microsoft/Cloud/automatische Updates usw. überhaupt nicht zusammen, bei der Kombination entwickelt sich bei mir schon Symptomatik. Ich hoffe, daß solche semantischen Nuancen wie meine Gehhilfe/mein Gehilfe hinreichend Beachtung finden.

Schreibe einen Kommentar zu mvo Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.