2320852

Hacker stehlen Schuldnerdaten von Inkasso-Firma (Update)

28.12.2017 | 09:14 Uhr |

Hacker sollen laut einem Bericht der SZ vertrauliche Daten von Zehntausenden von Schuldnern gestohlen haben. Darunter Krankenakten, Ausweisdaten und Kreditkartenabrechnungen. Update 28.12: Stellungnahme von Eos.

Wie die Süddeutsche Zeitung online berichtet, konnten Hacker die sensiblen Daten von Zehntausenden Schuldnern stehlen. Darunter befinden sich auch Arztberichte beziehungsweise Krankenakten.

Die gestohlenen Schuldnerdaten stammen laut SZ von der Schweizer Tochter des Inkasso-Unternehmens Eos Gruppe. Die Eos-Gruppe ist aus der Rechtsabteilung des Hamburger Otto-Konzerns hervorgegangen und gehört als Inkasso-Dienstleister zu Otto. Die Angreifer nutzen für ihre Attacke offensichtlich ein Leck in Apache Struts aus.

Bei den betroffenen Schuldnern soll es sich überwiegend um Kunden aus der Schweiz handeln. Unter den gestohlenen Daten befinden sich die Namen der Gläubiger und Schuldner, deren Adressen und die Höhe der ausstehenden Forderungen. Eos speicherte „eingescannte Ausweise und Reisepässe, seitenlange Kreditkartenabrechnungen, Briefwechsel und private Telefonnummern.“ Pikant:  Unter den Daten sollen sich auch Krankenakten befinden. Demnach haben Ärzte „ganze Krankenakten, mitsamt aller Vorerkrankungen der Patienten und den Details ihrer Behandlungen“ an das Inkasso-Unternehmen Eos geschickt. Damit haben die Ärzte vermutlich nicht nur gegen ihre ärztliche Schweigepflicht, sondern auch gegen Datenschutzbestimmungen verstoßen. Die SZ zitiert Adrian Lobsiger, den Datenschutzbeauftragte der Schweiz, folgendermaßen: „Ein solches Vorgehen sei unverhältnismäßig und somit nicht zulässig". Eos wiederum müsse solche sensiblen Daten, wenn sie dem Unternehmen zugespielt werden, sofort löschen und dürfe diese nicht speichern.

Die Süddeutsche Zeitung beruft sich bei ihrem Bericht auf 3 Gigabyte Daten, die aus mehr als 33.000 Dateien bestehen. Diese Daten habe ein Informant der SZ im April 2017 zugespielt. Die Daten reichen bis zum Jahr 2002 zurück.

Eos sagte in einer ersten Stellungnahme gegenüber der SZ, dass es im April „Versuche, ungewöhnlich viele Pakete an externe Computer zu senden", bemerkt habe. Damals hätten die Analysen aber keine Hinweise auf einen Hackerangriff ergeben. Eos habe damals aber aber die Server neu aufgesetzt. Eos prüft den Vorfall nun und will betroffene Kunden informieren.

Update 28.12.: Stellungnahme von Eos

PC-WELT stellte Eos drei Fragen zu dem Vorfall. Die Antworten von Eos lauten. Die Fragen beantwortete Alex Schneider, Managing Director von EOS Schweiz

Können Sie bestätigen, Hacker die Daten von Schuldnern gestohlen haben? Was ist der Stand der Dinge und was unternimmt Eos aktuell?

Nach bisherigem Kenntnisstand nach internen und externen Analysen hat kein Datenklau bei EOS Schweiz stattgefunden. Wir wurden von der Süddeutschen Zeitung am 18.12.2017 darüber informiert, dass der Redaktion Daten von einer Plattform von EOS Schweiz vorlägen. EOS selbst hat diese von der SZ benannten Daten nicht gesehen. Datensicherheit genießt bei EOS oberste Priorität. Selbstverständlich hat EOS Schweiz deshalb umgehend nach der SZ-Presseanfrage eine erneute IT-forensische Analyse des Vorfalls eingeleitet. Ergebnisse liegen noch nicht vor.

Wieso hat Eos Krankenakten überhaupt gespeichert? Wie kam Eos überhaupt an solche Daten, obwohl Ärzte der Schweigepflicht unterliegen?

EOS Schweiz speichert die Daten, die von den Mandanten übermittelt werden. EOS Schweiz nimmt diesen Fall zum Anlass, die bisherigen Prozesse diesbezüglich zu überprüfen und ggf. anzupassen.

Sind auch Schuldner aus Deutschland betroffen?

Bei dem von der SZ genannten Server handelt sich um ein System von EOS Schweiz, auf dem nahezu ausschließlich Daten über Schweizer Schuldner liegen. Die IT-Systeme von EOS Schweiz und anderen EOS Gesellschaften sind vollständig unabhängig voneinander. Es sind keine deutschen Systeme betroffen. Weil bei EOS Schweiz die Staatsangehörigkeit bei der Speicherung der Daten keine Rolle spielt, kann EOS Schweiz keine Auskunft über die Nationalität der Schuldner machen


PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
2320852