Unbekannte haben im Herbst 2017 die Zugriffsrechte eines Vertriebspartners entwendet und sich missbräuchlich Zugang zu Name, Adresse, Telefonnummer und Geburtsdatum von Kunden verschafft. Gemäss Datenschutzgesetz sind dies "nicht besonders schützenswerte Personendaten". Gestützt auf diesen Vorfall hat Swisscom die Sicherheitsmassnahmen auch für diese Kundenangaben verschärft. Zugegriffen wurde auf Vor- und Nachname, Wohnadresse, Geburtsdatum und Telefonnummer von Swisscom Kunden. Es handelt sich also grösstenteils um Kontaktdaten, die öffentlich oder über Adresshändler verfügbar sind.
Diese Kundenangaben erhebt Swisscom von Gesetzes wegen: Sie werden für den Abschluss eines Abonnements benötigt. Vertriebspartner dürfen auf diese Angaben beschränkt zugreifen, damit sie die Kunden identifizieren, beraten und Kundenverträge abschliessen oder anpassen können. Der dafür benötigte Systemzugriff ist mit spezifischen Benutzer-Logins und Passwörtern geschützt. Vom Vorfall betroffen waren die Kontaktangaben von rund 800'000 Swisscom Kunden – primär Mobilfunkkunden, sowie einigen wenigen Festnetzkunden. Swisscom hat diesen Vorfall im Rahmen einer routinemässigen Überprüfung der Betriebsaktivitäten entdeckt und in einer detaillierten, internen Prüfung untersuchen lassen.
Swisscom betont, dass das System nicht gehackt wurde und keine besonders schützenswerten Daten wie etwa Passwörter, Gesprächs- oder Zahlungsdaten von diesem Vorfall betroffen sind. Da greifen bereits seit langem strengere Schutzmechanismen.
Obwohl die entwendeten Angaben "nicht besonders schützenswerte Personendaten" im Sinne des Datenschutzgesetzes sind, hat die Aufklärung dieses Vorfalls für Swisscom höchste Priorität. Als Sofortmassnahme wurden die betroffenen Zugänge der Partnerfirma gesperrt. Darüber hinaus ergriff Swisscom intern verschiedene Massnahmen, um den Zugriff auf solche nicht besonders schützenswerten Personendaten durch Drittfirmen besser zu schützen. Dies insbesondere mit folgenden Massnahmen:
Mit diesen inzwischen eingeführten Massnahmen kann sich ein solcher Vorfall nicht wiederholen. Swisscom hat den eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) über den Vorfall informiert. Zudem prüft Swisscom alle rechtlichen Schritte und behält sich eine Strafanzeige vor.
Swisscom hat bis heute keinen Anstieg von Werbeanrufen oder anderen Aktivitäten zum Nachteil der betroffenen Kunden festgestellt. Es bestehen keine Hinweise darauf, dass die Kunden einen Schaden erleiden. Aus Transparenzgründen ist es Swisscom ein Anliegen, die Kunden über die missbräuchliche Verwendung der Zugriffsrechte des Vertriebspartners zu informieren und sie auf die Möglichkeiten hinzuweisen, sich vor einem künftigen möglichen Missbrauch zu schützen. Swisscom bietet dazu folgende Unterstützung an:
Kunden können besondere Vorkommnisse, wie eine Häufung unbekannter Anrufe, selbstverständlich bei Swisscom melden.
Interview mit Philippe Vuilleumier, Head of Group Security – abrufbar ab 10.00 Uhr.
Swisscom
Media Relations
Alte Tiefenaustrasse 6
3048 Worblaufen
Postadresse:
Postfach, CH-3050 Bern
Schweiz
Tel. +41 58 221 98 04
media@swisscom.com