800'000 Betroffene im Herbst 2017

Swisscom-Datenklau: Tunesische Firma soll verantwortlich sein

Uhr
von Maximilian Schenner und kfi

Im Herbst 2017 sind Daten von Hunderttausenden Swisscom-Kundinnen und -Kunden abgeflossen. Der Diebstahl soll in Tunesien stattgefunden haben. Laut EDÖB wusste die Swisscom vom Datenleck.

(Source: youngID / iStock.com)
(Source: youngID / iStock.com)

Im Herbst 2017 wurden bei einem Swisscom-Partner Daten von rund 800'000 Kundinnen und Kunden gestohlen. Swisscom informierte die Öffentlichkeit erst im Februar 2018. Die gestohlenen Daten - Namen, Telefonnummern, Adressen oder Geburtsdaten - seien "nicht besonders schützenswert", hiess es damals von Unternehmensseite. Eine Recherche von "20 Minuten" ergab nun, dass der Diebstahl in Tunesien stattgefunden haben soll.

Tunesische Marketingfirma hatte Zugang zu Kundendaten

Ein Swisscom-Partner habe einige seiner Logins unerlaubt an eine Schweizer Telemarketing-Firma gegeben, um die Kundschaft für Marketingzwecke zu kontaktieren. Diese habe die Daten wiederum an eine tunesische Marketingfirma weitergegeben, schreibt "20 Minuten". Dort sei der Zugang zu den Swisscom-Kundendaten entweder gehackt oder von Angestellten weitergegeben worden.

Die Abfragen seien ab Ende August 2017 über französische Server gelaufen, jeweils nachts. Im Bericht wird von teilweise bis zu 100'000 Abfragen pro Nacht ausgegangen.

Swisscom wusste Bescheid

Ende Dezember 2017 soll die Swisscom den Eidgenössischen Datenschutzbeauftragten (EDÖB) Adrian Lobsiger über den Diebstahl informiert haben. Wie dieser in einer Aktennotiz vermerkt, habe die Swisscom gewusst, dass ihr Partner Kontakte zum Subunternehmer in Tunesien pflege. "Deshalb habe die Swisscom auch gewusst, dass Daten nach Tunesien übermittelt würden", gehe aus Gesprächsnotizen des EDÖB hervor.

Swisscom bestreitet dies: "Swisscom hat im Rahmen der Zusammenarbeit nicht gewusst, dass Daten beziehungsweise Logins auf Kundendaten nach Tunesien übermittelt wurden. Dies wäre absolut nicht vertragskonform und Datenverarbeitung im Ausland war untersagt", beteuerte eine Sprecherin des Unternehmens laut "20 Minuten". Die Aufzeichnungen des EDÖB seien ausserdem nur Notizen, keine geprüften Fakten.

Adrian Lobsiger, Eidgenössischer Datenschutzbeauftragter. (Source: Netzmedien)

EDÖB drängte auf Transparenz

Erst auf das Drängen von Adrian Lobsiger hin habe sich Swisscom bereit erklärt, die Öffentlichkeit über das Datenleck zu informieren. Der Schaden würde laut Lobsiger nur noch grösser werden, wenn das Unternehmen nicht kommuniziere. "Im Zuge unserer aufsichtsrechtlichen Beratung wiesen wir die Swisscom darauf hin, dass sich aus dem Datenschutzgesetz ein Anspruch der Kunden ergibt, transparent darüber informiert zu werden, was mit ihren Daten geschehen ist", wird Lobsiger zitiert. Unterdessen habe Swisscom die Zusammenarbeit mit dem Vertriebspartner, der die Daten weitergeleitet haben soll, beendet.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_212965