Leiter Group Security
Unbekannte haben bei Swisscom Kundenangaben, gemäss Datenschutzgesetz «nicht besonders schützenswerte Personendaten», entwendet. Philippe Vuilleumier, Leiter Group Security, erklärt, was passierte, wie man verhinderte, dass heikle Daten gestohlen werden konnten und wie man künftig alle Daten besser schützen will.
Roger Baur, 7. Februar 2018
Ein Unbekannter verschaffte sich über die Zugriffsrechte eines Vertriebspartners missbräuchlich Zugang zu solchen Kundenangaben. Wir verstehen darunter Name, Adresse, Telefonnummer und Geburtsdatum eines Kunden, die notwendig sind, damit man ihn identifizieren kann. Gemäss Datenschutzgesetz gelten diese als «nicht besonders schützenswerte Personendaten», da sie grösstenteils öffentlich oder über Adresshändler erhältlich sind.
Nein, Login und Passwort wurden nicht gehackt, sondern wurden im letzten September einem Vertriebspartner entwendet und dann dazu benutzt, um auf die Daten still und heimlich zuzugreifen.
Die Vertriebspartner vertreiben unsere Produkte und brauchen Zugriff auf diese Angaben, damit sie unsere Kunden beraten, ihre Angaben mutieren und neue Verträge abschliessen können.
Nein, sensiblere Daten – wie zum Beispiel Passwörter oder Kreditkartennummer – haben wir schon bislang verstärkt gesichert. Auf die konnte nicht zugegriffen werden. Entwendet wurden eher unproblematische Angaben, die man gemeinhin auch freiwillig in Verzeichnissen oder Social Media publik macht. Nichtsdestotrotz ist das, was passiert ist, unschön. Im Nachhinein müssen wir feststellen, dass unsere sicherheitstechnischen Anforderungen nicht genügten, um einen solchen kriminellen Zugriff zu vermeiden.
«Nein, über die Täterschaft wissen wir heute nichts. Wir arbeiten aber eng mit dem betroffenen Vertriebspartner zusammen und prüfen alle rechtlichen Massnahmen.»
Nein, über die Täterschaft wissen wir heute nichts. Unsere forensischen Ermittlungen haben bisher ergeben, dass sie eine französische IP Adresse nutzten. Wir arbeiten aber eng mit dem betroffenen Vertriebspartner zusammen und prüfen alle rechtlichen Massnahmen. Auch der eidgenössische Datenschutzbeauftragte wurde informiert. Allerdings können wir davon ausgehen, dass die Angaben nicht genutzt wurden – denn auf den betroffenen Anschlüssen haben wir bislang keine erhöhte Aktivität festgestellt. Kunden kamen von daher nicht zu Schaden.
Jeder kann ganz einfach eine SMS an die kostenlose Nummer 444 mit dem Text «Info» schicken und erfährt, ob seine Daten auch darunter waren. Festnetz- und Firmenkunden wurden per Mail und Brief informiert. Wir empfehlen unseren betroffenen Kunden den Einsatz des kostenlosen Callfilters, um unerwünschte Werbeanrufe zu unterbinden. Denn das ist eigentlich auch schon das Schlimmste, wofür solche Angaben genutzt werden können – für unerwünschte Werbung.
Nun, diese Angaben werden oftmals freiwillig in Telefonverzeichnissen, in sozialen Medien oder bei Wettbewerbsteilnahmen angegeben. Und entsprechend sind sie auch bei Adresshändlern grösstenteils verfügbar. Trotzdem sollte das Swisscom nicht passieren. Wir bedauern den Vorfall – das entspricht auch nicht den Anspruch, den wir an uns selber haben. Wir haben nun alle Massnahmen eingeleitet, dass uns dies in dieser Form nicht mehr passiert!
Wir haben umgehend die internen Sicherheitsvorkehrungen massiv verschärft, damit so etwas nicht mehr möglich ist. Ab sofort sind nicht nur sensible Kundendaten, sondern auch solche sogenannt «nicht besonders schützenswerte Personendaten» besser geschützt: Zugriffe durch Partnerfirmen werden stärker überwacht und bei Unregelmässigkeiten wird sofort ein Alarm ausgelöst. Zudem sind grössere Abfragen rein technisch gar nicht mehr möglich. Weitere Vorkehrungen werden im Laufe des Jahres eingeführt.
Wir investieren in der Tat viel Geld in unsere Sicherheit, in die Sicherheit unserer Daten und verbessern diese laufend. Sei es mit dem hauseigenen "Red-Team", das sind interne Hacker. Oder unserem sehr erfolgreichen «Bug Bounty Program». Bei diesem laden wir externe Sicherheitsexperten ein, unsere Systeme auf Herz und Nieren zu prüfen und erkannte Schwachstellen zu melden. Dafür werden sie mit einer Prämie – Bounty genannt – belohnt. Wir haben als erstes Unternehmen in der Schweiz ein solches Programm lanciert. Das gibt uns ein Stimmungsbild über die zu erwartende Art der Angriffe. Denn von denen gibt es mehr, als man sich vorstellen kann: 3,6 Millionen pro Monat – also jede Sekunde mehr als ein Angriff.
Ganz klar! Das organisierte Verbrechen hat schon vor einiger Zeit entdeckt, dass man Online schnell und ohne allzu viel Risiko Geld verdienen kann. Buchstäblich ohne sich die Hände schmutzig zu machen. Deshalb unternehmen wir grosse Anstrengungen, um unsere Kunden in Zusammenarbeit mit den Behörden, Partnern und unseren Kunden selbst immer besser zu schützen. Übrigens auch mit neuen Produkten: Ab Frühling bieten wir mit dem «Internet Guard» einen kostenlosen Sicherheitsfilter, der bei gefährlichen Webseiten warnt, noch bevor man sie betreten hat.
Philippe Vuillemier, ist seit 2015 als Chief Security Officer auf Konzernleitungsstufe für alle Sicherheitsfragen bei Swisscom verantwortlich.