News 09.02.2018, 13:19 Uhr

Swisscom-Datenklau: «Adressdaten alleine nützen noch nichts»

Während Netzaktivisten die «laxen Sicherheitsmassnahmen» der Swisscom anprangern, sehen Darknet-Experten im jüngsten Vorfall noch keinen Grund zur Sorge.
800'000 Swisscom-Kundinnen und -Kunden waren von einem Datendiebstahl betroffen. Die Swisscom hatte in ihrer Stellungnahme darauf verwiesen, dass es sich bei den gestohlenen Daten wie Name, Geburtsdatum und Telefonnummer um «nicht besonders schützenswerte Personendaten» handle. Die Daten hatten nach Angaben des Telkos Unbekannte über einen «Vertriebspartner» entwendet. Betroffen waren vorwiegend private Inhaber von Handy-Nummern sowie einige Festnetzkunden und damit auch deren Name, Vorname, Adresse, Geburtsdatum und Telefonnummer. Während Netzaktivisten im jüngsten Fall eine «Verharmlosung» der «laxen Sicherheitsmassnahmen» anprangern, sieht der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) sich nicht veranlasst, «formelle Schritte» einzuleiten.

Swisscom ist in vielen Werbenetzwerken

Aus Sicht der Digitalen Gesellschaft ist es fragwürdig, wie Swisscom versucht, die Lage zu verharmlosen: «Swisscom erweckt den falschen Eindruck, es gäbe im Datenschutz eine Kategorie von nicht schützenswerten Daten», kontert Sprecher Martin Steiger. Diese Kommunikation sei nicht nur rechtlich falsch, sondern irreführend (Anm. d. Red.: Martin Steiger ist auch IT-Rechtsanwalt). «Ein Datendiebstahl wird nicht harmlos, bloss weil keine Gesundheitsdaten oder Strafregisterauszüge betroffen sind.» Auch kann Steiger nicht nachvollziehen, dass Swisscom behaupte, Namen, Adressen, Telefonnummern und Geburtsdaten seien faktisch sowieso öffentlich.

Härtere Strafen für Unternehmen 

Die Piratenpartei fordert indes eine härtere Bestrafung und eine gesetzliche Informationspflicht für Firmen, die mit dem Datenschutz hadern. «Die Swisscom hat die betroffenen Kunden wieder nicht direkt informiert, wie das bereits beim Digitec-Datenleak der Fall war», betont Stefan Thöni, Co-Präsident der Piratenpartei Schweiz. «Der Zivilweg ist keine Alternative» sagt Thöni, da sich viele Konsumenten einen Rechtsstreit mit Swisscom oder Digitec nicht leisten könnten. Sowohl die Piraten als auch die Digitale Gesellschaft fordern rasch ein neues Datenschutzgesetz. «Es darf nicht sein, dass alle paar Monate bei einem grossen Datenleck in der Schweiz Hunderttausende Datensätze verloren gehen», ärgert sich Thöni. Deshalb brauche es für die Unternehmen einen finanziellen Anreiz für guten Datenschutz in Form hoher Bussen und mehr Personal beim EDÖB, so Thöni.

Adressdaten im Darknet noch nicht viel wert

«Die Daten hören sich nicht so schützenswert an», sagt der Schweizer Deep-Web-Forensiker Oliver Münchow. Mit dem Start-up Kaduu sucht der Jungunternehmer im verborgenen Teil des Internets nach gestohlenen Unternehmensdaten seiner Kunden. Seiner Meinung nach liessen sich ohnehin schon mit Hunderten Tools relativ viele Daten zu Marketingzwecken einkaufen oder über öffentliche Verzeichnisse und Social Media automatisiert auslesen. Abgesehen von unerwünschter Werbung könne man mit Handy-Nummern natürlich hervorragend sogenannte «Smishing-Attacken» starten, erklärt der Security-Unternehmer dem PCtipp. Dabei handelt es sich um eine Art Phishing-Attacke mit dem Unterschied, dass die Nachricht nicht als Mail, sondern als SMS ankommt. Da reiche es bereits, via SMS nur einen Link zu versenden: «Auch dort gibt es unzählige Gratis-Tools, die das automatisiert für einen erledigen», sagt Münchow. Jemand, der diese Tools bediene, brauche jedoch auch nicht wirklich die hier von der Swisscom entwendeten Daten, so der IT-Experte.
Swisscom hat inzwischen nach eigenen Aussagen «verschiedene Massnahmen» ergriffen, um den Zugriff durch Drittfirmen besser zu schützen. Das Telekommunikationsunternehmen betont, dass das System nicht gehackt worden sei. Zudem sollen nun Zugriffe durch Partnerfirmen stärker überwacht und bei ungewöhnlichen Aktivitäten ein Alarm ausgelöst werden. Weiter sollen nun grössere Abfragen sämtlicher Kundenangaben künftig technisch unterbunden werden. Noch dieses Jahr solle dafür unter anderem eine Zwei-Faktor-Authentifizierung eingeführt werden.

Autor(in) Simon Gröflin



Kommentare
Avatar
karnickel
10.02.2018
Aufpassen "keine besonders schützenswerte" gemäss Datenschutzgesetz DSG. Man muss sie also nicht mit Feuerwaffen, doppelt eingeschlossen und gegen Feuer gesichert halten. ;) Verlieren darf man aber auch "nicht schützenswerte" Daten niemals!

Avatar
Poldi
10.02.2018
Name und Adresse kann man noch als öffentlich stehen lassen. Verbunden mit dem Geburtsdatum bin ich aber zu 99% eindeutig identifiziert und einzigartig. Das kann man nicht so überheblich als Bakatelle abtun.

Avatar
karnickel
13.02.2018
Hallo Poldi und alle hier im Forum Ein Problem gibt es mit diesem Hack aber doch! Die Diebe haben nun eine Kundendatenbank mit der gesicherten Verbindung Name, Adresse zum Index "Swisscom Kunde". Damit lassen sich prima Phishing-Angriffe ausüben. Auch bin ich mir gegenüber meinem vorherigen Post nun nicht mehr sicher, ob sich durch diese Verbindung nun doch die Datensammlung als "schützenswert" einstufen müsste.