Swisscom-Datenklau
09.02.2018, 14:51 Uhr
«Adressdaten alleine nützen noch nichts»
Während Netzaktivisten eine «Verharmlosung» der «laxen Sicherheitsmassnahmen» der Swisscom anprangern, sehen Darknet-Experten im jüngsten Vorfall noch keinen Grund zur Sorge.
800'000 Swisscom-Kunden waren von einem Datendiebstahl betroffen. Die Swisscom hatte in ihrer Stellungnahme darauf verwiesen, dass es sich bei den gestohlenen Daten wie Name, Geburtsdatum und Telefonnummer um «nicht besonders schützenswerte Personendaten» handele. Die Daten hatten nach Angaben des Telkos Unbekannte über einen «Vertiebsartner» entwendet. Betroffen waren vorwiegend private Inhaber von Handy-Nummern und einige Festnetzkunden und damit auch deren Namen, Vornamen, Adressen, Geburtsdaten und Telefonnummer. Während Netzaktivisten im jüngsten Fall eine «Verharmlosung» der «laxen Sicherheitsmassnahmen», sieht der Eidgenössische Datenschutzbeauftragte sich nicht veranlasst, «formelle Schritte» einzuleiten.
Swisscom ist in vielen Werbenetzwerken
Aus Sicht der Digitalen Gesellschaft ist fragwürdig, wie Swisscom versucht, die Lage zu verharmlosen: «Swisscom erweckt den falschen Eindruck, es gäbe im Datenschutz eine Kategorie von nicht schützenswerten Daten», kontert Sprecher Martin Steiger. Diese Kommunikation sei nicht nur rechtlich falsch, sondern irreführend (Anm.: Steiger ist auch IT-Rechtsanwalt). «Ein Datendiebstahl wird nicht harmlos, bloss weil keine Gesundheitsdaten oder Strafregisterauszüge betroffen sind.» Auch kann Steiger nicht nachvollziehen, dass Swisscom behaupte, Namen, Adressen, Telefonnummern und Geburtsdaten seien faktisch sowieso öffentlich.
Härtere Strafen für Unternehmen
Die Piratenpartei fordert indes eine härtere Bestrafung und eine gesetzliche Informationspflicht für Firmen, die mit dem Datenschutz hadern. «Die Swisscom hat die betroffenen Kunden wieder nicht direkt informiert, wie das bereits beim Digitec-Datenleak der Fall war», betont Stefan Thöni, Co-Präsident der Piratenpartei Schweiz. «Der Zivilweg ist keine Alternative» sagt Thöni, da sich viele Konsumenten einen Rechtsstreit mit Swisscom oder Digitec nicht leisten könnten. Sowohl die Piraten als auch die Digitale Gesellschaft fordern rasch ein neues Datenschutzgesetz. «Es darf nicht sein, dass alle paar Monate bei einem grossen Datenleck in der Schweiz hunderttausende Datensätze verloren gehen», ärgert sich Thöni. Deshalb brauche es für die Unternehmen einen finanziellen Anreiz für guten Datenschutz in Form hoher Bussen und mehr Personal beim Edoeb, so Thöni.
Adressdaten im Darknet noch nicht viel wert
«Die Daten hören sich nicht so schützenswert an», sagt der Schweizer Deep-Web-Forensiker Oliver Münchow. Mit dem Start-up Kaduu sucht der Jungunternehmer im verborgenen Teil des Internets nach gestohlenen Unternehmensdaten seiner Kunden. Seiner Meinung nach liessen sich ohnehin schon mit Hunderten Tools relativ viele Daten zu Marketingzwecken einkaufen oder über öffentlichen Verzeichnisse und Social Media automatisiert enumerieren. «Abgesehen von unerwünschter Werbung könne man mit Handynummern natürlich hervorragend sogenannte ‹Smishing-Attacken› starten, erklärt der Security-Unternehmer Computerworld. Dabei handelt es sich um eine Art Phishing-Attacke mit dem Unterschied, dass die Nachricht nicht als Mail, sondern als SMS ankommt. Da reiche es bereits, via SMS nur einen Link zu versenden: «Auch dort gibt es unzählige Gratis-Tools, die das automatisiert für einen erledigen», sagt Münchow. Jemand der diese Tools bediene, brauche jedoch auch nicht wirklich die hier von der Swisscom entwendeten Daten, so der IT-Experte.
Swisscom hat inzwischen nach eigenen Aussagen «verschiedene Massnahmen» ergriffen, um den Zugriff durch Drittfirmen besser zu schützen. Das Telekomunikationsunternehmen betont, dass das System nicht gehackt worden sei. Zudem sollen nun Zugriffe durch Partnerfirmen stärker überwacht und bei ungewöhnlichen Aktivitäten ein Alarm ausgelöst werden. Weiter sollen nun grössere Abfragen von sämtlichen Kundenangaben künftig technisch unterbunden werden. 2018 soll dafür unter anderem eine Zwei-Faktor-Authentisierung eingeführt werden.