Leiter Group Security

«So etwas wird nicht mehr passieren.»

Unbekannte haben bei Swisscom Kundenangaben, gemäss Datenschutzgesetz «nicht besonders schützenswerte Personendaten», entwendet. Philippe Vuilleumier, Leiter Group Security, erklärt, was passierte, wie man verhinderte, dass heikle Daten gestohlen werden konnten und wie man künftig alle Daten besser schützen will.

Roger Baur, 7. Februar 2018

Unbekannte haben bei Swisscom Angaben von rund 800'000 Kunden entwendet. Was genau ist passiert?

Ein Unbekannter verschaffte sich über die Zugriffsrechte eines Vertriebspartners missbräuchlich Zugang zu solchen Kundenangaben. Wir verstehen darunter Name, Adresse, Telefonnummer und Geburtsdatum eines Kunden, die notwendig sind, damit man ihn identifizieren kann. Gemäss Datenschutzgesetz gelten diese als «nicht besonders schützenswerte Personendaten», da sie grösstenteils öffentlich oder über Adresshändler erhältlich sind.

War es ein Hackerangriff?

Nein, Login und Passwort wurden nicht gehackt, sondern wurden im letzten September einem Vertriebspartner entwendet und dann dazu benutzt, um auf die Daten still und heimlich zuzugreifen.

Wieso haben denn Vertriebspartner überhaupt Zugriff auf diese Daten?

Die Vertriebspartner vertreiben unsere Produkte und brauchen Zugriff auf diese Angaben, damit sie unsere Kunden beraten, ihre Angaben mutieren und neue Verträge abschliessen können.

Heikle Daten wie etwa Zahlungsverbindungen waren nicht betroffen?

Nein, sensiblere Daten – wie zum Beispiel Passwörter oder Kreditkartennummer – haben wir schon bislang verstärkt gesichert. Auf die konnte nicht zugegriffen werden. Entwendet wurden eher unproblematische Angaben, die man gemeinhin auch freiwillig in Verzeichnissen oder Social Media publik macht. Nichtsdestotrotz ist das, was passiert ist, unschön. Im Nachhinein müssen wir feststellen, dass unsere sicherheitstechnischen Anforderungen nicht genügten, um einen solchen kriminellen Zugriff zu vermeiden.

«Nein, über die Täterschaft wissen wir heute nichts. Wir arbeiten aber eng mit dem betroffenen Vertriebspartner zusammen und prüfen alle rechtlichen Massnahmen.»

Weiss man, was mit den kopierten Daten passiert ist und wer dahintersteckt?

Nein, über die Täterschaft wissen wir heute nichts. Unsere forensischen Ermittlungen haben bisher ergeben, dass sie eine französische IP Adresse nutzten. Wir arbeiten aber eng mit dem betroffenen Vertriebspartner zusammen und prüfen alle rechtlichen Massnahmen. Auch der eidgenössische Datenschutzbeauftragte wurde informiert. Allerdings können wir davon ausgehen, dass die Angaben nicht genutzt wurden – denn auf den betroffenen Anschlüssen haben wir bislang keine erhöhte Aktivität festgestellt. Kunden kamen von daher nicht zu Schaden.

Wie finden denn Kunden nun heraus, ob sie betroffen sind und wie können sie sich schützen?

Jeder kann ganz einfach eine SMS an die kostenlose Nummer 444 mit dem Text «Info» schicken und erfährt, ob seine Daten auch darunter waren. Festnetz- und Firmenkunden wurden per Mail und Brief informiert. Wir empfehlen unseren betroffenen Kunden den Einsatz des kostenlosen Callfilters, um unerwünschte Werbeanrufe zu unterbinden. Denn das ist eigentlich auch schon das Schlimmste, wofür solche Angaben genutzt werden können – für unerwünschte Werbung.

Wie dramatisch ist also dieser Vorfall für Swisscom?

Nun, diese Angaben werden oftmals freiwillig in Telefon­verzeichnissen, in sozialen Medien oder bei Wettbewerbsteilnahmen angegeben. Und entsprechend sind sie auch bei Adresshändlern grösstenteils verfügbar. Trotzdem sollte das Swisscom nicht passieren. Wir bedauern den Vorfall – das entspricht auch nicht den Anspruch, den wir an uns selber haben. Wir haben nun alle Massnahmen eingeleitet, dass uns dies in dieser Form nicht mehr passiert!

Und was tut man dafür, dass es nicht mehr passiert?

Wir haben umgehend die internen Sicherheitsvorkehrungen massiv verschärft, damit so etwas nicht mehr möglich ist. Ab sofort sind nicht nur sensible Kundendaten, sondern auch solche sogenannt «nicht besonders schützenswerte Personendaten» besser geschützt: Zugriffe durch Partnerfirmen werden stärker überwacht und bei Unregelmässigkeiten wird sofort ein Alarm ausgelöst. Zudem sind grössere Abfragen rein technisch gar nicht mehr möglich. Weitere Vorkehrungen werden im Laufe des Jahres eingeführt. 

Nun wurden hier ja keine sensiblen Daten entwendet. Wie sieht es denn mit der Sicherheit der wirklich schützenswerten Daten aus, was tut Swisscom hier?

Wir investieren in der Tat viel Geld in unsere Sicherheit, in die Sicherheit unserer Daten und verbessern diese laufend. Sei es mit dem hauseigenen "Red-Team", das sind interne Hacker. Oder unserem sehr erfolgreichen «Bug Bounty Program». Bei diesem laden wir externe Sicherheitsexperten ein, unsere Systeme auf Herz und Nieren zu prüfen und erkannte Schwachstellen zu melden. Dafür werden sie mit einer Prämie – Bounty genannt – belohnt. Wir haben als erstes Unternehmen in der Schweiz ein solches Programm lanciert. Das gibt uns ein Stimmungsbild über die zu erwartende Art der Angriffe. Denn von denen gibt es mehr, als man sich vorstellen kann: 3,6 Millionen pro Monat – also jede Sekunde mehr als ein Angriff.

Mit steigender Tendenz?

Ganz klar! Das organisierte Verbrechen hat schon vor einiger Zeit entdeckt, dass man Online schnell und ohne allzu viel Risiko Geld verdienen kann. Buchstäblich ohne sich die Hände schmutzig zu machen. Deshalb unternehmen wir grosse Anstrengungen, um unsere Kunden in Zusammenarbeit mit den Behörden, Partnern und unseren Kunden selbst immer besser zu schützen. Übrigens auch mit neuen Produkten: Ab Frühling bieten wir mit dem «Internet Guard» einen kostenlosen Sicherheitsfilter, der bei gefährlichen Webseiten warnt, noch bevor man sie betreten hat.



Zur Person

Philippe Vuillemier, ist seit 2015 als Chief Security Officer auf Konzernleitungsstufe für alle Sicherheitsfragen bei Swisscom verantwortlich.

LinkedIn