Details zur DatenpanneDaten von 800’000 Swisscom-Kunden wurden in Tunesien geklaut
Ursprünglich wollte die Swisscom den Datenklau vom Herbst 2017 geheim halten. Nun zeigen Recherchen, dass eine Marketingfirma in Tunesien Zugang zu den Schweizer Kundendaten hatte. Die Swisscom bestreitet, davon gewusst zu haben.
Ungenügend gesichert: Kriminelle nutzten im Herbst 2017 die Zugriffsrechte einer Partnerfirma und klauten die Daten von 800’000 Swisscom-Kunden.
20min/Simon GlauserDarum gehts
Im Herbst 2017 wurden bei der Swisscom hunderttausende Kundendaten geklaut.
Die Recherche von 20 Minuten zeigt jetzt: Der Diebstahl geschah bei einer Marketingfirma in Tunesien.
Die Swisscom hat laut eigenen Angaben unterdessen die Sicherheitsmassnahmen nachgeschärft.
Der Swisscom war die Brisanz des Dokuments bewusst: Die Präsentation mit dem Titel «Datenverlust durch unrechtmässige Aktivitäten» trägt die Klassifizierung «geheim». Worum gehts? Im Herbst 2017 wurden bei einem Swisscom-Partner Angaben von rund 800’000 Swisscom-Kunden entwendet. Gestohlen wurden gemäss Datenschutzgesetz «nicht besonders schützenswerte Daten» wie Name, Telefonnummer, Adresse und Geburtsdatum. Am Ende des Geheim-Dokuments schreibt die Swisscom unter «Fazit und weitere Schritte», man tendiere dazu, weder Betroffene noch die Öffentlichkeit über den Vorfall zu informieren.
Im Februar 2018 – gut drei Monate, nachdem die Swisscom den Diebstahl bemerkt hatte – informierte das Unternehmen dann doch die Öffentlichkeit. Der Telecomriese hielt fest, es gehe um Daten, die man oftmals freiwillig in Telefonverzeichnissen, in sozialen Medien oder bei Wettbewerben angebe. Die Hintergründe zum Datenklau blieben im Dunkeln. Nun zeigen aber Recherchen von 20 Minuten, dass der Diebstahl in Tunesien stattfand. Doch wie konnten Daten von Schweizer Kunden in Nordafrika landen?
Automatisierte Abfragen in der Nacht
Grund dafür ist ein Vertriebspartner der Swisscom und zwei Sub-Unternehmer. Der Swisscom-Partner hat einige seiner Logins gemäss Aussagen der Swisscom ohne Erlaubnis einer Schweizer Telemarketingfirma weitergegeben, um Swisscom-Kunden für Marketingzwecke zu kontaktieren. Diese Schweizer Firma hat wiederum die Zugangsdaten an eine tunesische Marketing-Firma weitergegeben. In Tunesien wurde der Zugang zu den Swisscom-Kundendaten entweder gehackt oder durch Angestellte des Unterauftragnehmers weitergegeben, wie aus Dokumenten hervorgeht, die 20 Minuten aufgrund des Öffentlichkeitsgesetzes einsehen konnte. Vier Logins wurden verwendet, um die Datensätze zu klauen.
Die missbräuchlichen Abfragen im System begannen Ende August 2017 und wurden jeweils in der Nacht über einen Server in Frankreich getätigt. Pro Nacht wurden teilweise 100’000 Abfragen gemacht. Aufgrund der hohen Anzahl vermutet die Swisscom, dass die Abfragen automatisiert erfolgt sind und jeweils bei einem Treffer die Kundendaten kopiert worden sind. Diese Schilderung geht aus einer Aktennotiz vom Eidgenössischen Datenschutzbeauftragten (Edöb) Adrian Lobsiger hervor. Er wurde von der Swisscom Ende Dezember 2017 über das Datenleck informiert und stand mit dem Telecomriesen im Austausch.
Daten in Tunesien: Swisscom wusste laut Edöb Bescheid
Laut Gesprächsnotizen des Edöb war die Swisscom darüber im Bild, dass ihr Vertriebspartner eine Zusammenarbeit mit einem Subunternehmer in Tunesien pflegt. «Deshalb habe die Swisscom auch gewusst, dass Daten nach Tunesien übermittelt würden». Dieser Umstand wird vom Telecomunternehmen bestritten. «Swisscom hat im Rahmen der Zusammenarbeit nicht gewusst, dass Daten bzw. Logins auf Kundendaten nach Tunesien übermittelt wurden. Dies wäre absolut nicht vertragskonform und Datenverarbeitung im Ausland war untersagt», betont eine Sprecherin. Zudem handle es sich bei den Aufzeichnungen des Edöb um Notizen und nicht um geprüfte Fakten. Die Swisscom hat die Zusammenarbeit mit dem Vertriebspartner unterdessen beendet.
Weiter hält der Edöb in seinen Aufzeichnungen fest, dass im Vertrag zwischen der Swisscom und ihrem Schweizer Partner keine Vereinbarung betreffend Subcontracting oder Datenweitergabe nach Tunesien enthalten gewesen sei. «Die Weitergabe der Daten war also weder autorisiert noch untersagt gewesen», so Lobsiger. Wie Lobsiger auf Nachfrage sagt, handelte es sich um eine Auftragsdatenbearbeitung, die in den vertraglichen Bedingungen vorgesehen war. «Das Vorgehen der Swisscom war somit gemäss Datenschutzgesetz auch ohne darüber hinausgehende Einwilligung der Kunden zulässig.» Die Swisscom trage aber gegenüber ihren Kunden die Verantwortung für alle Datenverletzungen.
Kampf um Einsicht in Dokumente
20 Minuten hat nach Bekanntwerden des Datendiebstahls beim Edöb um Einsicht in die Dokumente ersucht. Dieser stimmte dem Ansinnen grundsätzlich zu. Es bestehe ein besonderes Informationsinteresse der Öffentlichkeit. Zudem handle sich um ein wichtiges Vorkommnis, weshalb die Dokumentation der Aufsichtstätigkeit öffentlich zugänglich sein müsse. Die Swisscom ihrerseits versuchte die Dateifreigabe auf juristischem Weg bis vor Bundesgericht zu verhindern. Das Unternehmen verwies in seiner Beschwerde etwa auf Geschäftsgeheimnisse oder Reputationsrisiken, die in Zusammenhang mit der Veröffentlichung entstehen würden.
Edöb drängte Swisscom zur Transparenz
Laut den 20 Minuten vorliegenden Dokumenten hat der Edöb der Swisscom mehrfach empfohlen, die vom Datendiebstahl betroffenen Personen zu informieren. Zudem erläuterte Lobsiger, dass der Schaden hinsichtlich des Vertrauens in die Swisscom noch viel grösser werde, wenn die Swisscom nicht kommuniziere und der Vorfall doch publik werde. «Im Zuge unserer aufsichtsrechtlichen Beratung wiesen wir die Swisscom darauf hin, dass sich aus dem Datenschutzgesetz ein Anspruch der Kunden ergibt, transparent darüber informiert zu werden, was mit ihren Daten geschehen ist», sagt Lobsiger.
Letztlich liessen sich die Swisscom-Verantwortlichen von Lobsiger überzeugen und informierten die Öffentlichkeit. Der Konzern war bemüht zu betonen, dass das System nicht gehackt und die Sicherheit für Kundendaten erhöht worden sei. Zugriffe durch Partnerfirmen würden neu stärker überwacht und bei ungewöhnlichen Aktivitäten werde ein Alarm ausgelöst. Zudem hielt die Swisscom fest, sie habe keinen Anstieg von Werbeanrufen oder anderen Aktivitäten zum Nachteil der betroffenen Kunden festgestellt.
Das sagt die Swisscom
«Die Datenverarbeitung im Ausland war und ist untersagt»
War der Swisscom bekannt, dass Kundendaten über den Subcontractor der Genfer Partnerfirma nach Tunesien übermittelt bzw. dort bearbeitet werden?
Wir haben im Rahmen der Bilanzmedienkonferenz darüber informiert, dass der Zugriff über eine französische IP-Adresse erfolgte. Aus ermittlungstechnischen Gründen haben wir den weitergehenden Bezug zu Tunesien nicht erwähnt. Wir haben bei der Bundesanwaltschaft in Bern Strafanzeige gestellt.
Was wusste die Swisscom konkret?
Der Vertriebspartner hat einige seiner Logins ohne Wissen und ohne die erforderliche Erlaubnis von Swisscom einer Telemarketingfirma mit Sitz in der Schweiz weitergegeben, um Bestandskunden von Swisscom für Marketingzwecke zu kontaktieren. Dieses Unternehmen hat die Zugangsdaten an eine weitere Marketing-Firma in Tunesien weitergegeben. Die Logins wurden gemäss unserem Wissensstand in Tunesien bei Telemarketingfirma entwendet.
Ist es heute noch möglich, dass Swisscom-Partnerfirmen Daten im Ausland bearbeiten?Swisscom arbeitet nicht mit ausländischen Callcentern zusammen. Die Datenverarbeitung im Ausland war und ist untersagt. Ebenso verbietet Swisscom eine Weitergabe von Kundendaten im Inland.
Weshalb wollte die Swisscom den Datendiebstahl anfänglich nicht kommunizieren?
Swisscom war in einer ersten Analyse zum Schluss gekommen, dass für die Kunden aller Voraussicht nach kein Schaden entstehen würde und hat zu Beginn verschiedene Szenarien zur Kommunikation in Betracht gezogen. Im späteren Verlauf wurde entschieden, die Öffentlichkeit aktiv und breit zu informieren.
Wäre ein derartiger Datendiebstahl heute noch möglich? Swisscom hat ihre Sicherheitsmassahmen verschärft. Insbesondere wurden eine verstärkte Überwachung der Zugriffe durch Partnerfirmen, ein Alarmierungssystem bei verdächtigen Aktivitäten und eine Zwei-Faktor-Authentifizierung eingeführt.
