Intrum gilt als die grösste Inkassofirma der Schweiz. Ihr Geschäft ist es, Schulden einzutreiben. Die Daten, die sich bei Intrum sammeln, sind entsprechend sensibel. Wegen einer Sicherheitslücke konnte sich nun aber jede und jeder durch private Schuldenverzeichnisse klicken. Zu sehen waren nicht nur die Namen der Schuldner, sondern sämtliche Betreibungen, Rechnungen oder Kontodaten. Denn betroffen vom Leck war ausgerechnet das Kundenportal, auf dem betriebene Personen ihre offenen Forderungen sehen und begleichen können.
Wie viele Profile einsehbar waren, gibt Intrum nicht preis. Der «Beobachter» geht aufgrund seiner Recherche aber von etlichen Betroffenen aus, möglicherweise Zehntausenden. Die Sicherheitslücke bestand bis zum 28. August und wurde, als der «Beobachter» Intrum darauf aufmerksam machte, geschlossen. Wie lange das Verzeichnis offen war, ist laut Intrum noch nicht klar.
Das ist ein Beitrag aus dem «Beobachter». Das Magazin berichtet ohne Scheuklappen – und hilft Ihnen, Zeit, Geld und Nerven zu sparen.
Das ist ein Beitrag aus dem «Beobachter». Das Magazin berichtet ohne Scheuklappen – und hilft Ihnen, Zeit, Geld und Nerven zu sparen.
Login ohne Passwort
Üblicherweise können Schuldner auf ihre Profile bei Intrum nur zugreifen, wenn sie ihr Passwort und ihren Nutzernamen in Form eines verschlüsselten Zahlencodes eingeben. Während des Sicherheitslecks reichte es jedoch, beim Benutzernamen eine beliebige Nummer einzutippen. Das Feld des Passworts konnte man freilassen und auf «Anmelden» klicken. War die Nummer einem Schuldner zugeordnet, konnte man das persönliche Profil der Person anschauen.
Der «Beobachter» hat es mit mehreren siebenstelligen Nummern ausprobiert und erhielt innert kürzester Zeit Einblick in die hochsensiblen Daten von mehreren Personen. Glück brauchte es dafür nicht. Und viel Geduld ebenfalls nicht.
Auf den Profilen präsentierte sich zuoberst auf der Seite die Höhe aller Schulden. Weiter unten waren sämtliche Betreibungen im Detail aufgelistet. So konnte man auch die Rechnungen und Kontodaten der Gläubiger anschauen. Doch damit nicht genug: Selbst Name, Adresse und Handynummer der Betriebenen lagen offen. Mit einem Klick liessen sich diese privaten Daten sogar ändern. Man konnte einer betroffenen Person beispielsweise ganz einfach eine neue E-Mail-Adresse einrichten.
Schuld war ein Software-Update
Kurz nachdem der «Beobachter» Intrum auf die Datenlücke hingewiesen hatte, schloss die Firma das Kundenportal. Das passierte am 28. August. Jaël Fuchs, Kommunikationsverantwortliche von Intrum, schreibt: «Die Sicherheitslücke war bis zu diesem Zeitpunkt nicht bekannt.»
Das Problem, so erklärt Intrum auf Anfrage, sei auf die Einführung einer neuen Code-Version zurückzuführen. Ein Software-Update wurde auf das System gespielt und verursachte die Sicherheitslücke. Wie Intrum schreibt, könne eine böswillige Verursachung von Dritten ausgeschlossen werden.
Die Plattform wurde in der Nacht auf den 29. August über mehrere Stunden vom Netz genommen, um das Problem zu beheben. Mittlerweile ist das Kundenportal wieder online, und das Problem scheint gelöst: Man muss wieder ein Passwort eingeben, um auf die Schuldner-Profile zuzugreifen.
Die strafrechtlichen Folgen
Welche Konsequenzen dieses gravierende Datenleck für Intrum nach sich ziehen wird, ist noch nicht klar. Zum konkreten Fall äussert sich der eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) nicht.
Er schreibt auf Anfrage lediglich: «Wer im Besitz von Daten von privaten Personen ist, ist dafür verantwortlich, diese mit der nötigen Sorgfalt zu bearbeiten.» Und er muss für die Sicherheit der Daten sorgen und diese vor unberechtigten Zugriffen und Verlust schützen.
Gemäss neuem Datenschutzgesetz muss der EDÖB jedoch eine Untersuchung eröffnen, wenn ein bedeutender Verstoss gegen das Datenschutzgesetz vorliegt. Wer glaubt, vom Datenleck betroffen zu sein, kann sich über diese Website beim EDÖB melden.