Swisscom

Grosser Datenklau bei Swisscom – 800 000 Kundenangaben gestohlen

Der Schweizer Netzbetreiber Swisscom kommt nicht aus den Negativschlagzeilen heraus. In den letzten Wochen kämpfte Swisscom mit grossen technischen Problemen mit dem KMU-Abo Smart Business Connect. Heute gab Swisscom bekannt, dass bereits im Herbst 2017 rund 800 000 Kundenangaben gestohlen wurden.

Wie so was passieren kann? Laut Swisscom haben Unbekannte im Herbst 2017 die Zugriffsrechte eines Vertriebspartners entwendet und sich missbräuchlich Zugang zu Namen, Adresse, Telefonnummer und Geburtstag von Kunden verschafft. Gemäss Datenschutzgesetz sind dies „nicht besonders schützenswerte Personendaten“. Gestützt auf diesen Vorfall hat Swisscom die Sicherheitsmassnahmen auch für diese Kundenangaben verschärft. Zugegriffen wurde auf Vor- und Nachname, Wohnadresse, Geburtsdatum und Telefonnummer von Swisscom Kunden. Es handelt sich also grösstenteils um Kontaktdaten, die öffentlich oder über Adresshändler verfügbar sind.

Diese Kundenangaben erhebt Swisscom von Gesetzes wegen: Sie werden für den Abschluss eines Abonnements benötigt. Vertriebspartner dürfen auf diese Angaben beschränkt zugreifen, damit sie die Kunden identifizieren, beraten und Kundenverträge abschliessen oder anpassen können. Der dafür benötigte Systemzugriff ist mit spezifischen Benutzer-Logins und Passwörtern geschützt. Vom Vorfall betroffen waren die Kontaktangaben von rund 800’000 Swisscom Kunden – primär Mobilfunkkunden, sowie einigen wenigen Festnetzkunden. Swisscom hat diesen Vorfall im Rahmen einer routinemässigen Überprüfung der Betriebsaktivitäten entdeckt und in einer detaillierten, internen Prüfung untersuchen lassen.

Swisscom betont, dass das System nicht gehackt wurde und keine besonders schützenswerten Daten wie etwa Passwörter, Gesprächs- oder Zahlungsdaten von diesem Vorfall betroffen sind. Da greifen bereits seit langem strengere Schutzmechanismen.

Verschärfte Zugriffskontrolle auch für Kundenangaben, Unterbindung grösserer Abfragen
Obwohl die entwendeten Angaben „nicht besonders schützenswerte Personendaten“ im Sinne des Datenschutzgesetzes sind, hat die Aufklärung dieses Vorfalls für Swisscom höchste Priorität. Als Sofortmassnahme wurden die betroffenen Zugänge der Partnerfirma gesperrt. Darüber hinaus ergriff Swisscom intern verschiedene Massnahmen, um den Zugriff auf solche nicht besonders schützenswerten Personendaten durch Drittfirmen besser zu schützen. Dies insbesondere mit folgenden Massnahmen:

  • Zugriffe durch Partnerfirmen werden neu stärker überwacht und bei ungewöhnlichen Aktivitäten wird automatisch ein Alarm ausgelöst und die Zugriffe gesperrt
  • Grössere Abfragen von sämtlichen Kundenangaben sind künftig technisch unterbunden
  • Zudem wird 2018 für alle notwendigen Datenzugriffe von Vertriebspartnern eine zwei-Faktor-Authentisierung eingeführt

Mit diesen inzwischen eingeführten Massnahmen kann sich ein solcher Vorfall nicht wiederholen. Swisscom hat den eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) über den Vorfall informiert. Zudem prüft Swisscom alle rechtlichen Schritte und behält sich eine Strafanzeige vor.

Wie sich Swisscom-Kunden informieren und schützen können

Swisscom hat bis heute keinen Anstieg von Werbeanrufen oder anderen Aktivitäten zum Nachteil der betroffenen Kunden festgestellt. Es bestehen keine Hinweise darauf, dass die Kunden einen Schaden erleiden. Aus Transparenzgründen ist es Swisscom ein Anliegen, die Kunden über die missbräuchliche Verwendung der Zugriffsrechte des Vertriebspartners zu informieren und sie auf die Möglichkeiten hinzuweisen, sich vor einem künftigen möglichen Missbrauch zu schützen. Swisscom bietet dazu folgende Unterstützung an:

  • Mobilfunkkunden können eine SMS mit dem Stichwort „Info“ an die Nummer 444 senden und damit feststellen, ob ihr Name, ihre Rufnummer, Adresse oder Geburtsdatum betroffen sind.
  • Swisscom rät allen Kunden generell zur Vorsicht bei ungewöhnlichen Kontaktaufnahmen oder Marketinganrufen und dazu, den Callfilter für Mobilfunk- und Festnetzanschlüsse als Schutz gegen unerwünschte Werbeanrufe zu aktivieren.

Kunden können besondere Vorkommnisse, wie eine Häufung unbekannter Anrufe, selbstverständlich bei Swisscom melden.

Bruno

Mag sich noch wer an das T-Mobile G1 erinnern? Tja, das war das allererste Android-Smartphone und ich hatte es damals importiert. Seither bin ich mit (kleinen) Unterbrüchen Android treu geblieben und schreibe mit grosser Leidenschaft darüber.

Kommentieren

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert