Swisscom verschärft Sicherheitsmassnahmen für Kundenangaben

Swisscom verschärft Sicherheitsmassnahmen für Kundenangaben, sogenannte "nicht besonders schützenswerten Personendaten". Dies nachdem bei einem Vertriebspartner Zugriffsrechte missbräuchlich verwendet wurden. Swisscom konnte keine Aktivitäten zum Nachteil ihrer Kunden feststellen.
Bern, 07. Februar 2018

Unbekannte haben im Herbst 2017 die Zugriffsrechte eines Vertriebspartners entwendet und sich missbräuchlich Zugang zu Name, Adresse, Telefonnummer und Geburtsdatum von Kunden verschafft. Gemäss Datenschutzgesetz sind dies "nicht besonders schützenswerte Personendaten". Gestützt auf diesen Vorfall hat Swisscom die Sicherheitsmassnahmen auch für diese Kundenangaben verschärft. Zugegriffen wurde auf Vor- und Nachname, Wohnadresse, Geburtsdatum und Telefonnummer von Swisscom Kunden. Es handelt sich also grösstenteils um Kontaktdaten, die öffentlich oder über Adresshändler verfügbar sind.

Diese Kundenangaben erhebt Swisscom von Gesetzes wegen: Sie werden für den Abschluss eines Abonnements benötigt. Vertriebspartner dürfen auf diese Angaben beschränkt zugreifen, damit sie die Kunden identifizieren, beraten und Kundenverträge abschliessen oder anpassen können. Der dafür benötigte Systemzugriff ist mit spezifischen Benutzer-Logins und Passwörtern geschützt. Vom Vorfall betroffen waren die Kontaktangaben von rund 800'000 Swisscom Kunden – primär Mobilfunkkunden, sowie einigen wenigen Festnetzkunden. Swisscom hat diesen Vorfall im Rahmen einer routinemässigen Überprüfung der Betriebsaktivitäten entdeckt und in einer detaillierten, internen Prüfung untersuchen lassen.

Swisscom betont, dass das System nicht gehackt wurde und keine besonders schützenswerten Daten wie etwa Passwörter, Gesprächs- oder Zahlungsdaten von diesem Vorfall betroffen sind. Da greifen bereits seit langem strengere Schutzmechanismen.

Verschärfte Zugriffskontrolle auch für Kundenangaben, Unterbindung grösserer Abfragen

Obwohl die entwendeten Angaben "nicht besonders schützenswerte Personendaten" im Sinne des Datenschutzgesetzes sind, hat die Aufklärung dieses Vorfalls für Swisscom höchste Priorität. Als Sofortmassnahme wurden die betroffenen Zugänge der Partnerfirma gesperrt. Darüber hinaus ergriff Swisscom intern verschiedene Massnahmen, um den Zugriff auf solche nicht besonders schützenswerten Personendaten durch Drittfirmen besser zu schützen. Dies insbesondere mit folgenden Massnahmen:

  • Zugriffe durch Partnerfirmen werden neu stärker überwacht und bei ungewöhnlichen Aktivitäten wird automatisch ein Alarm ausgelöst und die Zugriffe gesperrt.
  • Grössere Abfragen von sämtlichen Kundenangaben sind künftig technisch unterbunden.
  • Zudem wird 2018 für alle notwendigen Datenzugriffe von Vertriebspartnern eine zwei-Faktor-Authentisierung eingeführt.

Mit diesen inzwischen eingeführten Massnahmen kann sich ein solcher Vorfall nicht wiederholen. Swisscom hat den eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) über den Vorfall informiert. Zudem prüft Swisscom alle rechtlichen Schritte und behält sich eine Strafanzeige vor.

Wie sich Kunden informieren und schützen können

Swisscom hat bis heute keinen Anstieg von Werbeanrufen oder anderen Aktivitäten zum Nachteil der betroffenen Kunden festgestellt. Es bestehen keine Hinweise darauf, dass die Kunden einen Schaden erleiden.  Aus Transparenzgründen ist es Swisscom ein Anliegen, die Kunden über die missbräuchliche Verwendung der Zugriffsrechte des Vertriebspartners zu informieren und sie auf die Möglichkeiten hinzuweisen, sich vor einem künftigen möglichen Missbrauch zu schützen. Swisscom bietet dazu folgende Unterstützung an:

  • Mobilfunkkunden können eine SMS mit dem Stichwort "Info" an die Nummer 444 senden und damit feststellen, ob ihr Name, ihre Rufnummer, Adresse oder Geburtsdatum betroffen sind.
  • Swisscom rät allen Kunden generell zur Vorsicht bei ungewöhnlichen Kontaktaufnahmen oder Marketinganrufen und dazu, den Callfilter für Mobilfunk- und Festnetzanschlüsse als Schutz gegen unerwünschte Werbeanrufe zu aktivieren.

Kunden können besondere Vorkommnisse, wie eine Häufung unbekannter Anrufe, selbstverständlich bei Swisscom melden.

Auf Swisscom.ch/News:

Interview mit Philippe Vuilleumier, Head of Group Security – abrufbar ab 10.00 Uhr.


Kontaktieren Sie uns

Adresse

Swisscom
Media Relations
Alte Tiefenaustrasse 6
3048 Worblaufen

Postadresse:
Postfach, CH-3050 Bern
Schweiz

Kontakt

Tel. +41 58 221 98 04
media@swisscom.com

Weitere Kontakte