Schweres Datenleck mit Datenskandal bei dem zur deutschen Otto-Gruppe gehörenden Inkasso-Unternahmen Eos. Rund 3 Gigabyte an sensiblen Schuldnerdaten sind in unbefugte Hände gelangt. Brisant ist, dass in den Daten über Schweizer Schuldner Informationen gespeichert waren, deren Erhebung auch nach Schweizer Recht illegal ist.
Anzeige
Ein Informant hat der Süddeutschen Zeitung bereits im April 2017 die Daten in Form von 33.000 Dateien zukommen lassen. Laut Süddeutscher Zeitung gab der Informant an, dass ein Hacker eine IT-Sicherheitslücke in Apache Struts ausgenutzt habe, um an die Daten zu kommen. Ich hatte im Artikel Apache Struts 2 dringend patchen im März 2017 auf diese Lücke hingewiesen. Der Equifax-Hack lief über die gleiche Lücke.
Eos Inkasso
Der insgesamt 3 Gigabyte große Datensatz enthält die Daten von zehntausenden tausenden Schweizer Schuldnern, die von der Schweizer Tochter des Inkassounternehmens Eos gesammelt wurden.
Die Eos Gruppe ist als Holding mit Sitz in Hamburg angesiedelt und gehört zu den größten Inkassounternehmen Deutschlands. Das Ganze ist aus der Otto-Gruppe hervorgegangen. Der Wikipedia–Artikel über die Eos Gruppe beschreibt einige Details (auch kritisches). Das Geschäftsmodell von Eos besteht darin, Schulden für Firmen, Behörden oder Ärzte einzutreiben. In 2016 lag der Umsatz bei mehr als 660 Millionen Euro.
Illegale Speicherung von Daten
Laut diesem Bericht der Süddeutschen Zeitung scheint das Unternehmen Daten gesammelt zu haben, die teilweise nicht zulässig sind. Die geleakten Dateien reichen bis in das Jahr 2002 zurück und enthalten die Namen von Gläubigern und Schuldnern samt Meldeadressen in der Schweiz sowie die jeweiligen Forderungshöhen (was zulässig und notwendig ist).
Anzeige
Darüber hinaus hat man aber in einem Ordner Upload wohl von Kunden hochgeladene Dokumente gespeichert. Diese reichen von eingescannten Ausweisen und Reisepässen, seitenlangen Kreditkartenabrechnungen, über Briefwechsel bis hin zu privaten Telefonnummern. Ärzte luden zudem ganze Krankenakten, mitsamt aller Vorerkrankungen der Patienten und den Details ihrer Behandlungen in diesem Ordner hoch.
Verstoß gegen Deutsches und Schweizer Recht
Diese Daten waren wohl der Grund, warum der Informant sich an die Süddeutsche Zeitung wandte. Denn die Speicherung ist auch nach dem Schweizer Datenschutzrecht illegal. "Wer Inkassounternehmen sensible Dokumente wie Krankenakten zur Verfügung stelle, begehe nicht nur eine Dummheit, sondern eine Straftat", wird der Datenschutzbeauftragte der Schweiz, Adrian Lobsiger, von der Süddeutschen Zeitung zitiert. Ein solches Vorgehen sei "unverhältnismäßig und somit nicht zulässig".
Johannes Caspar, Datenschutzbeauftragte aus Hamburg, führt aus, dass die Firma intime Details über Patienten sofort vernichten müsse, wenn Ärzte sie ohne deren ausdrückliche Einwilligung weiterleiten.
Man hat bei Eos reagiert …
Die Süddeutsche Zeitung fragte bei Eos nach und eine Eos-Sprecherin teilte mit, dass Anfang April Versuche bemerkt wurden, in denen "ungewöhnlich viele Pakete" an fremde Computer gesendet werden sollten. Laut Sprecherin habe Eos jedoch "trotz intensivster Analysen nach wie vor nicht feststellen können, dass wir Opfer eines erfolgreichen Hacker-Angriffs geworden sein sollen". Eos gehe, laut Süddeutsche Zeitung, von einem "Verdachtsfall" aus und habe externe Unterstützung in Anspruch genommen.
Zudem habe man den "Server komplett neu aufgesetzt. Die Sicherheitslücke wurde damit geschlossen". Nun würden die Systeme, laut Eos, erneut analysiert. In der Süddeutschen Zeitung spekuliert die Sprecherin, dass die Daten auch von einem verärgerten Mitarbeiter weitergeben worden sein könnten. Wäre jetzt spannend, ob dieser Vorfall juristische Konsequenzen hat. Spätestens Sommer 2018 gilt die Datenschutz-Grundverordnung, die da drakonische Strafen vorsieht.
Ähnliche Artikel:
Apache Struts 2 dringend patchen
Equifax-Hack Schlampereien: Apatche Struts ungepatcht
Oracle schließt Sicherheitslücke in Apache Struts 2
Equifax-Hack nutzte Apache Struts-Lücke
Anzeige
Wie bei allen Großen Unternehmen wird die Strafe wohl nicht so Riesig ausfallen. (siehe VW/Diesel)
Interessant, EOS betrügt und bescheißt die sog. Säumigen.