Am 18. September 2013 machte die NZZ publik, dass die Redaktion im Besitz war von insgesamt vier Datenbändern, die aus Rechenzentren von Swisscom stammen. Swisscom hat umgehend Strafanzeige gegen Unbekannt eingereicht. Die NZZ hat seitdem die Daten weiter ausgewertet und in einem weiteren Artikel vom 20. Dezember 2013 auch einzelne Kundennamen veröffentlicht. Für eine solche weitergehende Publikation und die Veröffentlichung von Kundendaten bestand aus Sicht Swisscom kein öffentliches Interesse. Um die Interessen ihrer Kunden zu wahren, forderte Swisscom von der NZZ die Herausgabe und Vernichtung der ihr noch vorliegenden Daten sowie den Verzicht auf weitere Publikationen von Daten. Auch wenn das Berner Handelsgericht die superprovisorische Verfügung nun aufgehoben hat, stellt es in der Urteilsbegründung klar, dass ein weiteres, häppchenweises Publizieren von Erkenntnissen ein Verstoss gegen das Bundesgesetz gegen den unlauteren Wettbewerb (UWG) darstellen könnte. Die NZZ hat während des Verfahrens zur superprovisorischen Verfügung betont, dass sie keine konkreten Kundendaten mehr veröffentlichen wird. Das war eine weitere Forderung von Swisscom.
Swisscom hat in ihrer Medienmitteilung vom 18. September 2013 darauf hingewiesen, dass die gestohlenen Datenbänder Kundeninformationen enthalten können. Eine Auswertung der Metadaten der gestohlenen Bänder hat bestätigt, dass sich Informationen wie Namen und Kontaktdaten sowie IBAN-Nummern von Kunden, die per LSV bezahlen, auf diesen Bändern befanden. Es wurden jedoch nicht alle Datensätze im Einzelnen überprüft. Die umfassende und aufwendige Überprüfung der mehr als 1 Terabyte grossen Datensätze war aus Sicht von Swisscom nicht zielführend, denn die Datenträger befanden sich bereits kurz nach Bekanntwerden wieder im Besitz von Swisscom oder wurden zerstört.
Die Datenbänder wurden nach Bekanntwerden des Diebstahls umgehend von der NZZ zurückgefordert. Die NZZ hat Swisscom drei Bänder zurückgegeben, eines wurde nach Angaben der NZZ an die Quelle zurückgegeben und von dieser offenbar vernichtet. Damit bestand aus Sicht von Swisscom keine Gefahr mehr, dass Informationen über Kunden missbräuchlich an die Öffentlichkeit gelangen können.
Um einen vergleichbaren Vorfall zu verhindern, hat Swisscom die notwendigen Massnahmen umgehend eingeleitet. Bereits seit 2012 werden Daten ausschliesslich auf vielen verschiedenen Hard Disks verteilt gespeichert. Eine Hard Disk hat aufgrund der verteilten Daten nur einzelne Fragmente eines Datenbestandes. Mit einer einzelnen oder weniger Festplatten ist der Aufwand sehr hoch, um überhaupt verwertbare Daten zu erhalten. Um die Sicherheit noch weiter zu steigern, wurden zudem weitere Massnahmen eingeleitet. So wird beispielsweise eine Screening-Anlage (Metalldetektor und Röntgenanlage) im neuen Rechenzentrum Wankdorf eingebaut.
Swisscom
Media Relations
Alte Tiefenaustrasse 6
3048 Worblaufen
Postadresse:
Postfach, CH-3050 Bern
Schweiz
Tel. +41 58 221 98 04
media@swisscom.com