Vier Datenbänder wurden der Redaktion der NZZ von einer Swisscom unbekannten Person übergeben. Die darauf vorhandenen Backup-Daten stammen nach heutigem Kenntnisstand aus zwei Rechenzentren von Swisscom und enthalten Sicherungskopien aus den Jahren 2008 bis 2010. Nach Angaben der NZZ-Redaktion enthalten diese Datenbänder interne Backup-Dateien, darunter E-Mails von Swisscom-Mitarbeitenden. Swisscom hat die Bänder am gestrigen Dienstag erhalten und ist mit Hochdruck daran, den Inhalt der Datenbänder zu analysieren. Derzeit lässt sich nicht ausschliessen, dass auch Kundeninformationen auf den Bändern gespeichert sind.
Die bei der NZZ aufgetauchten Datenbänder werden seit 2012 nicht mehr von Swisscom verwendet. Heute erfolgt die Datenspeicherung insbesondere auf Festplatten. Swisscom hat äusserst strenge Richtlinien, um solche Datenträger sicher und nachhaltig zu entsorgen. Das Entfernen der Datenträger aus den Servern erfolgt ausschliesslich im Vieraugenprinzip, ebenso wie die Einlagerung in mehrfach gesicherten Entsorgungsräumen. Auch der Transport von Datenträgern findet immer gemäss dem Vieraugenprinzip statt. Die Datenträger werden in einem Konvoi mit zwei Begleitfahrzeugen schlussendlich der Vernichtung zugeführt (geshreddert). Dabei sind auch externe Partnerfirmen eingebunden. Seit Anfang 2012 werden Festplatten bereits vor der Entsorgung im Rechenzentrum entmagnetisiert und die Daten damit gelöscht. Zudem wurde der Prozess weiter verschärft, da alle Festplatten inventarisiert werden und damit der Weg von der Nutzung bis zur Entsorgung nachvollzogen werden kann. Die involvierten Mitarbeitenden sind für diese Arbeiten speziell sensibilisiert und ausgebildet. Der Entsorgungsprozess wird zusätzlich von einer externen Firma regelmässig geprüft.
Für Swisscom hat die rasche Aufklärung des Falls höchste Priorität. So wurden nicht nur interne Untersuchungen gestartet, sondern umgehend der eidgenössische Datenschutzbeauftragte informiert. Swisscom geht im vorliegenden Fall von einer widerrechtlichen Entwendung der Datenbänder aus und hat aus diesem Grund Strafanzeige bei der Staatsanwaltschaft Bern-Mittelland gegen Unbekannt eingereicht. Swisscom hat zudem begonnen, den Ablauf der Datenträgerentsorgung noch einmal genau zu überprüfen und eventuelle Schwachstellen zu identifizieren. In der Zwischenzeit hat die NZZ drei der Bänder an Swisscom zurückgegeben. Ein weiteres Band hat die NZZ ihrer Quelle zurückgegeben. Swisscom setzt alles daran, auch in den Besitz dieser fehlenden Daten zu kommen.
Swisscom
Media Relations
Alte Tiefenaustrasse 6
3048 Worblaufen
Postadresse:
Postfach, CH-3050 Bern
Schweiz
Tel. +41 58 221 98 04
media@swisscom.com