Lehren aus dem Fall Swisscom
Das gigantische Swisscom-Datenleck ist bei einer Routinekontrolle aufgeflogen. Über die Zugriffsrechte eines Vertriebspartners haben sich die Cyberkriminellen Zugang zu rund 800'000 Kundendaten verschafft. Was können andere Firmen daraus lernen?
Der auf das Darknet spezialisierte IT-Sicherheitsexperte Marc Ruef, er trat am Eröffnungstag der Sicherheitsfachmesse als Referent auf, spricht von einem Super-GAU. Die Swisscom dagegen betont, dass es sich beim Datenklau um «nicht besonders schützenswerte Personendaten» handle. Gestohlen worden seien Name, Adresse, Telefonnummer und Geburtsdatum von den 800‘000 Kunden; primär aus dem Mobilfunkgeschäft. Keinesfalls seien heikle Daten wie etwa Passwörter, Gesprächs- oder Zahlungsdaten vom Vorfall betroffen. Es seien also grösstenteils Kontaktdaten, die öffentlich oder über Adresshändler verfügbar seien. Das mag stimmen, trotzdem bleibt ein schaler Nachgeschmack.
Anweisung im Umgang mit Kundendaten
Gemäss der Stiftung für Konsumentenschutz (SKS) wird der Vorfall von Swisscom verharmlost. Er könne nicht über die Tatsache hinwegtäuschen, dass es immer wieder zu Datenlecks komme, und dass ein vollständig sicherer Schutz im Umgang mit den Kundendaten nicht garantiert werden könne.
Der Vorfall sei Anlass genug, einmal mehr die wichtigsten Punkte des Konsumentenschutzes in Erinnerung zu rufen, welche im Umgang mit Kundendaten zentral seien:
- Sicherheit: Unternehmen sind verpflichtet, im Umgang mit Kundendaten grösstmögliche Sicherheit anzuwenden. Diese gilt ebenso, wenn Dritte mit der Datenbearbeitung beauftragt werden oder wenn Dritten (z.B. Vertriebspartnern) Zugang zu Kundendaten gewährt wird.
- Datensparsamkeit: Es dürfen immer nur so viele und diejenigen Daten gespeichert/bearbeitet werden, wie es für die Erbringung einer Dienstleistung zwingend notwendig ist.
- Transparenz und Information: Es muss sichergestellt sein, dass Zwischenfälle/Lecks sofort bemerkt und die betroffenen Kunden unverzüglich informiert werden.
Der Konsumentenschutz fordert denn auch einen strengeren Datenschutz. Man setze sich dafür ein, dass die entsprechenden Grundlagen in die Revision des Datenschutzgesetzes einfliessen würden, so die Organisation. Die Politik sei sich der Wichtigkeit scheinbar nicht bewusst, denn die Datenschutzrevision sei von der staatspolitischen Kommission des Nationalrats im Januar auf die lange Bank geschoben worden, kritisiert der SKS.
Was hat die Swisscom unternommen?
Als Sofortmassnahme habe man die betroffenen Zugänge der Partnerfirma gesperrt, schreibt der Telekomanbieter. Darüber hinaus ergreife man intern verschiedene Massnahmen, um den Zugriff auf solche nicht besonders sensiblen Personendaten durch Drittfirmen besser zu schützen. Dies insbesondere mit folgenden Massnahmen:
- Zugriffe durch Partnerfirmen werden neu stärker überwacht und bei ungewöhnlichen Aktivitäten wird automatisch ein Alarm ausgelöst und die Zugriffe gesperrt.
- Grössere Abfragen von sämtlichen Kundenangaben sind künftig technisch unterbunden.
- Zudem wird 2018 für alle notwendigen Datenzugriffe von Vertriebspartnern eine Zwei-Faktor-Authentisierung eingeführt.
(rs)
