Swisscom-Datenklau: «Adressdaten alleine nützen noch nichts»

800'000 Swisscom-Kundinnen und -Kunden waren von einem Datendiebstahl betroffen. Die Swisscom hatte in ihrer Stellungnahme darauf verwiesen, dass es sich bei den gestohlenen Daten wie Name, Geburtsdatum und Telefonnummer um «nicht besonders schützenswerte Personendaten» handle. Die Daten hatten nach Angaben des Telkos Unbekannte über einen «Vertriebspartner» entwendet. Betroffen waren vorwiegend private Inhaber von Handy-Nummern sowie einige Festnetzkunden und damit auch deren Name, Vorname, Adresse, Geburtsdatum und Telefonnummer. Während Netzaktivisten im jüngsten Fall eine «Verharmlosung» der «laxen Sicherheitsmassnahmen» anprangern, sieht der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) sich nicht veranlasst, «formelle Schritte» einzuleiten.

Aus Sicht der Digitalen Gesellschaft ist es fragwürdig, wie Swisscom versucht, die Lage zu verharmlosen: «Swisscom erweckt den falschen Eindruck, es gäbe im Datenschutz eine Kategorie von nicht schützenswerten Daten», kontert Sprecher Martin Steiger. Diese Kommunikation sei nicht nur rechtlich falsch, sondern irreführend (Anm. d. Red.: Martin Steiger ist auch IT-Rechtsanwalt). «Ein Datendiebstahl wird nicht harmlos, bloss weil keine Gesundheitsdaten oder Strafregisterauszüge betroffen sind.» Auch kann Steiger nicht nachvollziehen, dass Swisscom behaupte, Namen, Adressen, Telefonnummern und Geburtsdaten seien faktisch sowieso öffentlich.

Die Piratenpartei fordert indes eine härtere Bestrafung und eine gesetzliche Informationspflicht für Firmen, die mit dem Datenschutz hadern. «Die Swisscom hat die betroffenen Kunden wieder nicht direkt informiert, wie das bereits beim Digitec-Datenleak der Fall war», betont Stefan Thöni, Co-Präsident der Piratenpartei Schweiz. «Der Zivilweg ist keine Alternative» sagt Thöni, da sich viele Konsumenten einen Rechtsstreit mit Swisscom oder Digitec nicht leisten könnten. Sowohl die Piraten als auch die Digitale Gesellschaft fordern rasch ein neues Datenschutzgesetz. «Es darf nicht sein, dass alle paar Monate bei einem grossen Datenleck in der Schweiz Hunderttausende Datensätze verloren gehen», ärgert sich Thöni. Deshalb brauche es für die Unternehmen einen finanziellen Anreiz für guten Datenschutz in Form hoher Bussen und mehr Personal beim EDÖB, so Thöni.

«Die Daten hören sich nicht so schützenswert an», sagt der Schweizer Deep-Web-Forensiker Oliver Münchow. Mit dem Start-up Kaduu sucht der Jungunternehmer im verborgenen Teil des Internets nach gestohlenen Unternehmensdaten seiner Kunden. Seiner Meinung nach liessen sich ohnehin schon mit Hunderten Tools relativ viele Daten zu Marketingzwecken einkaufen oder über öffentliche Verzeichnisse und Social Media automatisiert auslesen. Abgesehen von unerwünschter Werbung könne man mit Handy-Nummern natürlich hervorragend sogenannte «Smishing-Attacken» starten, erklärt der Security-Unternehmer dem PCtipp. Dabei handelt es sich um eine Art Phishing-Attacke mit dem Unterschied, dass die Nachricht nicht als Mail, sondern als SMS ankommt. Da reiche es bereits, via SMS nur einen Link zu versenden: «Auch dort gibt es unzählige Gratis-Tools, die das automatisiert für einen erledigen», sagt Münchow. Jemand, der diese Tools bediene, brauche jedoch auch nicht wirklich die hier von der Swisscom entwendeten Daten, so der IT-Experte.

Swisscom hat inzwischen nach eigenen Aussagen «verschiedene Massnahmen» ergriffen, um den Zugriff durch Drittfirmen besser zu schützen. Das Telekommunikationsunternehmen betont, dass das System nicht gehackt worden sei. Zudem sollen nun Zugriffe durch Partnerfirmen stärker überwacht und bei ungewöhnlichen Aktivitäten ein Alarm ausgelöst werden. Weiter sollen nun grössere Abfragen sämtlicher Kundenangaben künftig technisch unterbunden werden. Noch dieses Jahr solle dafür unter anderem eine Zwei-Faktor-Authentifizierung eingeführt werden.