Swisscom verschwieg nach Datenklau den Kunden die Risiken
ZÜRICH. Es seien «nicht besonders schützenswerte Daten», betonte die Swisscom 2018 nach der grossen Panne. Nun zeigt sich, wie die Firma die Risiken gegenüber den Behörden beurteilte.
«Handel mit Kundenangaben im Darknet», «Vermehrte Werbeanrufe», «Enttarnung von VIPs»: Das sind drei von elf aufgelisteten Gefahren für SwisscomKunden. Sie stammen aus einer bisher unter Verschluss gehaltenen Risikoanalyse, die die Swisscom im Nachgang des 2018 bekannt gewordenen Datendiebstahls dem Eidgenössischen Datenschutzbeauftragten (EDÖB) liefern musste. Kriminelle hatten Ende 2017 die Zugriffsrechte einer Partnerfirma genutzt und Name, Adresse, Telefonnummer und Geburtsdatum von 800000 SwisscomKunden geklaut.
Als die Swisscom die Panne 2018 kommunizierte, versuchte sie zu beruhigen. Beim gestohlenen Material handle es sich gemäss Datenschutzgesetz um «nicht besonders schützenswerte Daten». Es gehe um Daten, die man oftmals freiwillig in Telefonverzeichnissen, in sozialen Medien oder bei Wettbewerben angebe.
Ganz so harmlos klang es bei der Swisscom intern nicht. In der auf Geheiss des Datenschutzbeauftragten Adrian Lobsiger erstellten RisikofolgeAbschätzung führt der Telecomriese eine Reihe von
Punkten auf. So heisst es unter dem Titel «vermehrte Werbeanrufe»: «Es besteht das Risiko, dass die vom unberechtigten Datenzugriff betroffenen Personen mehr Werbeanrufe erhalten.» Die Eintretenswahrscheinlichkeit bezeichnet die Swisscom als hoch, das Schadenspotenzial als mittel.
Hohe Wahrscheinlichkeit und hohes Schadenspotenzial machte die Swisscom beim «SMS Phishing» aus. «Es besteht das Risiko, dass Betroffenen personalisierte SMS zugesandt werden, um diese zu verleiten, eine schädigende Aktivität vorzunehmen.» Und unter «Enttarnung von VIPs oder gefährdeten Personen» hält die Swisscom fest, es bestehe das Risiko, dass Angaben von bekannten oder gefährdeten Persönlichkeiten veröffentlicht werden könnten. Eine Gefährdung an Leib und Leben könne nicht ausgeschlossen werden.
Lobsiger geht heute davon aus, dass die beschriebenen Risiken grösstenteils nicht eingetreten sind: «Die Swisscom und die 800000 Kunden hatten Glück.» Wichtig sei, dass man den Schutz dieser Art von Daten künftig ernster nehme.