13.10.2020 17:12

800’000 BetroffeneSwisscom verschwieg nach Datenklau den Kunden die Risiken

Es seien «nicht besonders schützenswerte Daten», betonte die Swisscom nach der grossen Panne öffentlich. Nun zeigt ein geheimes Dokument, wie die Firma die Risiken gegenüber den Behörden beurteilte.

von
Sandro Spaeth
1 / 16
Ungenügend gesichert: Kriminelle nutzten im Herbst 2017 die Zugriffsrechte einer Partnerfirma und klauten die Daten von 800’000 Swisscom-Kunden.

Ungenügend gesichert: Kriminelle nutzten im Herbst 2017 die Zugriffsrechte einer Partnerfirma und klauten die Daten von 800’000 Swisscom-Kunden.

KEYSTONE
Die Swisscom kommunizierte die Datenpanne erst im Frühjahr 2018. Dabei betonte das Unternehmen, dass es sich beim gestohlenen Material um gemäss Datenschutzgesetz «nicht besonders schützenswerte Daten» handelt.

Die Swisscom kommunizierte die Datenpanne erst im Frühjahr 2018. Dabei betonte das Unternehmen, dass es sich beim gestohlenen Material um gemäss Datenschutzgesetz «nicht besonders schützenswerte Daten» handelt.

KEYSTONE
In einer behördlich verlangten Risikoanalyse listet die Swisscom hingegen elf Gefahren für vom Datendiebstahl betroffene Kunden auf.

In einer behördlich verlangten Risikoanalyse listet die Swisscom hingegen elf Gefahren für vom Datendiebstahl betroffene Kunden auf.

Darum gehts

  • Unbekannte klauten im Herbst 2017 Name, Adresse, Telefonnummer und Geburtsdatum von 800’000 Swisscom-Kunden.
  • Als die Swisscom 2018 über die Panne informierte, betonte die Firma, es handle sich um «nicht besonders schützenswerte Daten».
  • Ein geheimer, interner Bericht zeigt nun, dass erhebliche Risiken bestanden haben.

«Handel mit Kundenangaben im Darknet», «Vermehrte Werbeanrufe», «Enttarnung von VIPs»: Das sind drei von elf fein säuberlich aufgelisteten Gefahren für Swisscom-Kunden. Sie stammen aus einer bisher unter Verschluss gehaltenen Risikoanalyse, die die Swisscom im Nachgang des 2018 bekannt gewordenen Datendiebstahls dem Eidgenössischen Datenschutzbeauftragten (Edöb) liefern musste.

Kriminelle nutzten die Zugriffsrechte einer Partnerfirma und klauten Name, Adresse, Telefonnummer und Geburtsdatum von 800’000 Swisscom-Kunden. Die Daten waren nur mit einem Log-in und einem Passwort gesichert.

Geschehen ist der Datendiebstahl im Herbst 2017, kommuniziert hat die Swisscom die Panne gut drei Monate später. Das Unternehmen versuchte damals zu beruhigen und betonte, dass es sich beim gestohlenen Material um gemäss Datenschutzgesetz «nicht besonders schützenswerte Daten» handelt.

Es gehe demnach um Daten, die man oftmals freiwillig in Telefon­verzeichnissen, in sozialen Medien oder bei Wettbewerben angebe. Zudem betonte der staatsnahe Betrieb, die Sicherheit sei bereits erhöht worden und es habe keine Aktivität zum Nachteil der Kunden festgestellt werden können.

Hohe Wahrscheinlichkeit für vermehrte Werbeanrufe

Ganz so harmlos klang es bei der Swisscom intern allerdings nicht. Das belegt die 20 Minuten vorliegende Risikoanalyse, in der die Swisscom die Gefahren gegenüber dem Edöb beurteilte: «Die Swisscom hat mich von sich aus über den Datendiebstahl informiert», sagt der Eidgenössische Datenschutzbeauftragte Adrian Lobsiger zu 20 Minuten. Seine Behörde habe die Swisscom in einer ersten Phase beraten, dann aber eine Sachverhaltsabklärung durchgeführt und eine Risikofolge-Abschätzung verlangt.

Im 20 Minuten vorliegenden Schreiben führt der Telecomriese elf Risiken auf (siehe Bildstrecke oben). So heisst es etwa unter dem Titel «vermehrte Werbeanrufe»: «Es besteht das Risiko, dass die vom unberechtigten Datenzugriff betroffenen Personen mehr Werbeanrufe erhalten.» Die Eintretenswahrscheinlichkeit bezeichnet die Swisscom als hoch, das Schadenspotenzial als mittel.

Eine hohe Wahrscheinlichkeit und ein hohes Schadenspotenzial machte die Swisscom auch beim «SMS-Phishing» aus. Gegenüber dem Edöb schreibt das Unternehmen: «Es besteht das Risiko, dass den betroffenen Personen personalisierte SMS zugesandt werden, um diese zu verleiten, eine schädigende Aktivität vorzunehmen.» Betroffene könnten dazu verleitet werden, auf einen Link zu klicken, der zu einer Malware führt. Zudem hält die Swisscom bei jedem aufgelisteten Risiko fest, welche Massnahmen getroffen worden sind.

«Gefährdung an Leib und Leben nicht ausgeschlossen»

Unter dem Punkt «Enttarnung von VIPs oder gefährdeten Personen» hält die Swisscom fest, es bestehe das Risiko, dass wegen des Datendiebstahls Kundenangaben von bekannten oder gefährdeten Persönlichkeiten veröffentlicht werden könnten.

«Eine Gefährdung der betreffenden Personen an Leib und Leben kann nicht ausgeschlossen werden.» Das Risiko könne durch einen Wechsel der Mobilnummer reduziert werden. Zudem schreibt das Unternehmen, es werde mit besonders Betroffenen in Kontakt treten und im Einzelfall Massnahmen bestimmen.

Datenschützer Lobsiger geht heute davon aus, dass die beschriebenen Risiken grösstenteils nicht eingetreten sind: «Die Swisscom und die 800’000 Kunden hatten Glück.» Wichtig sei, dass man den Schutz dieser Art von Daten künftig ernster nehme.

Besonderes Interesse der Öffentlichkeit

20 Minuten hat unter Verweis auf das Öffentlichkeitsgesetz bereits kurz nach Bekanntwerden des Datendiebstahls beim Edöb um Einsicht in die Dokumente ersucht. Dieser stimmte dem Ansinnen grundsätzlich zu. Er argumentierte, es bestehe ein besonderes Informationsinteresse der Öffentlichkeit, da die Anzahl der vom Datenvorfall betroffenen Personen hoch sei und die Medien breit über den Fall berichtet hätten. Zudem handle sich um ein wichtiges Vorkommnis, weshalb die Dokumentation der gesetzlichen Aufsichtstätigkeit der Öffentlichkeit zugänglich sein müsse.

Die Swisscom hingegen versuchte dies während gut zweier Jahre auf juristischem Weg zu verhindern. Das Unternehmen verwies in seiner Beschwerde etwa auf Geschäftsgeheimnisse oder Reputationsrisiken, die in Zusammenhang mit der Veröffentlichung entstehen würden. Das Bundesverwaltungsgericht teilte diese Ansicht nicht und gab die Dokumente – wenn auch in gewissen Teilen geschwärzt – frei.

Bei Swisscom nachgefragt

«Ein ähnlicher Fall ist praktisch ausgeschlossen»

  • Wieso hat die Swisscom die Kunden nicht besser über mögliche Risiken aufgeklärt?

Wir haben seinerzeit die Medien und die Kunden über den Vorfall informiert. Insbesondere auf das Risiko von ungewollten Werbeanrufen haben wir hingewiesen. So haben wir empfohlen, den Callfilter zu installieren, und haben zu Vorsicht bei ungewöhnlichen Kontaktaufnahmen aufgerufen. Glücklicherweise sind diese Risiken nach derzeitigem Kenntnisstand nicht eingetroffen.

  • Kann die Swisscom garantieren, dass keiner der 800’000 betroffenen Kunden künftig nicht mehr Werbeanrufe erhält oder Kundendaten im Darknet landen?

Unsere Sicherheitsexperten sind auch im Darknet unterwegs. Bisher konnten wir nicht feststellen, dass diese Kundenangaben dort aufgetaucht sind. Aber natürlich können wir einen potenziellen Missbrauch nicht ausschliessen.

  • Könnte sich ein solcher Datendiebstahl heute noch ereignen?

Als Sofortmassnahme wurden die betroffenen Zugänge der Partnerfirma gesperrt. Darüber hinaus ergriff die Swisscom intern verschiedene Anpassungen. So werden etwa die Zugriffe durch Partnerfirmen stärker überwacht, und bei ungewöhnlichen Aktivitäten wird ein Alarm ausgelöst, grössere Abfragen wurden unterbunden. Zudem wurde eine 2-Faktor-Authentisierung eingeführt. Ein ähnlicher Fall ist praktisch ausgeschlossen.

  • Wieso hat sich die Swisscom gegen die Dokumentenfreigabe durch den Datenschutzbeauftragten gewehrt?

Aus unserer Sicht enthalten die Dokumente Geschäftsgeheimnisse, die nicht für die Öffentlichkeit bestimmt sind. Das Öffentlichkeitsgesetz (BGÖ) nimmt Geschäftsgeheimnisse von der Offenlegungspflicht aus. Dokumente ohne Rücksicht auf Geschäftsgeheimnisse offenzulegen, verstösst gegen das BGÖ. Dieser Fall hat für die Swisscom eine generelle Bedeutung.

Deine Meinung

Fehler gefunden?Jetzt melden.
236 Kommentare
Kommentarfunktion geschlossen

Krin Swisscomkunde mehr

14.10.2020, 18:14

Bin bei der Quickline top Support/ Leistung zu fairen Preisen.

Joker78

14.10.2020, 14:21

Ich bin Swisscom Kunde seit 17 Jahren für mich heute ist Swisscom für mich nicht mehr Kunden freundlich habe immer Probleme mit Rechnungen Mitarbeiter irgend etwas machen heisst es ja sie wissen auch nicht wieso dieser mit Arbeiter das gemacht hat tja für mich ist Swisscom schon lange nicht mehr Swisscom heute ...! Leider

SwisscomFan

14.10.2020, 12:08

Früher waren alle Adressen und Telefonnummern im elektr. Telefonbuch. Ich hatte sogar eine CD mit diesen Daten. Viele der Nummern findet men wohl noch heute auf Local... So schlimm ist es also echt nicht. Die Partnerfirma hatte das Sicherheitsproblem und nicht Swisscom. Bei der Konkurrenz landen die Daten sonstwo im Ausland...