Datenleck bei Schweizer Inkassounternehmen Eos

SicherheitSchweres Datenleck mit Datenskandal bei dem zur deutschen Otto-Gruppe gehörenden Inkasso-Unternahmen Eos. Rund 3 Gigabyte an sensiblen Schuldnerdaten sind in unbefugte Hände gelangt. Brisant ist, dass in den Daten über Schweizer Schuldner Informationen gespeichert waren, deren Erhebung auch nach Schweizer Recht illegal ist.


Anzeige

Ein Informant hat der Süddeutschen Zeitung bereits im April 2017 die Daten in Form von 33.000 Dateien zukommen lassen. Laut Süddeutscher Zeitung gab der Informant an, dass ein Hacker eine IT-Sicherheitslücke in Apache Struts ausgenutzt habe, um an die Daten zu kommen. Ich hatte im Artikel Apache Struts 2 dringend patchen im März 2017 auf diese Lücke hingewiesen. Der Equifax-Hack lief über die gleiche Lücke.

Eos Inkasso

Der insgesamt 3 Gigabyte große Datensatz enthält die Daten von zehntausenden tausenden Schweizer Schuldnern, die von der Schweizer Tochter des Inkassounternehmens Eos gesammelt wurden.

Die Eos Gruppe ist als Holding mit Sitz in Hamburg angesiedelt und gehört zu den größten Inkassounternehmen Deutschlands. Das Ganze ist aus der Otto-Gruppe hervorgegangen. Der Wikipedia–Artikel über die Eos Gruppe beschreibt einige Details (auch kritisches). Das Geschäftsmodell von Eos besteht darin, Schulden für Firmen, Behörden oder Ärzte einzutreiben. In 2016 lag der Umsatz bei mehr als 660 Millionen Euro.

Illegale Speicherung von Daten

Laut diesem Bericht der Süddeutschen Zeitung scheint das Unternehmen Daten gesammelt zu haben, die teilweise nicht zulässig sind. Die geleakten Dateien reichen bis in das Jahr 2002 zurück und enthalten die Namen von Gläubigern und Schuldnern samt Meldeadressen in der Schweiz sowie die jeweiligen Forderungshöhen (was zulässig und notwendig ist).


Anzeige

Darüber hinaus hat man aber in einem Ordner Upload wohl von Kunden hochgeladene Dokumente gespeichert. Diese reichen von eingescannten Ausweisen und Reisepässen, seitenlangen Kreditkartenabrechnungen, über Briefwechsel bis hin zu privaten Telefonnummern. Ärzte luden zudem ganze Krankenakten, mitsamt aller Vorerkrankungen der Patienten und den Details ihrer Behandlungen in diesem Ordner hoch.

Verstoß gegen Deutsches und Schweizer Recht

Diese Daten waren wohl der Grund, warum der Informant sich an die Süddeutsche Zeitung wandte. Denn die Speicherung ist auch nach dem Schweizer Datenschutzrecht illegal. "Wer Inkassounternehmen sensible Dokumente wie Krankenakten zur Verfügung stelle, begehe nicht nur eine Dummheit, sondern eine Straftat", wird der Datenschutzbeauftragte der Schweiz, Adrian Lobsiger, von der Süddeutschen Zeitung zitiert. Ein solches Vorgehen sei "unverhältnismäßig und somit nicht zulässig".

Johannes Caspar, Datenschutzbeauftragte aus Hamburg, führt aus, dass die Firma intime Details über Patienten sofort vernichten müsse, wenn Ärzte sie ohne deren ausdrückliche Einwilligung weiterleiten.

Man hat bei Eos reagiert …

Die Süddeutsche Zeitung fragte bei Eos nach und eine Eos-Sprecherin teilte mit, dass Anfang April Versuche bemerkt wurden, in denen "ungewöhnlich viele Pakete" an fremde Computer gesendet werden sollten. Laut Sprecherin habe Eos jedoch "trotz intensivster Analysen nach wie vor nicht feststellen können, dass wir Opfer eines erfolgreichen Hacker-Angriffs geworden sein sollen". Eos gehe, laut Süddeutsche Zeitung, von einem "Verdachtsfall" aus und habe externe Unterstützung in Anspruch genommen.

Zudem habe man den "Server komplett neu aufgesetzt. Die Sicherheitslücke wurde damit geschlossen". Nun würden die Systeme, laut Eos, erneut analysiert. In der Süddeutschen Zeitung spekuliert die Sprecherin, dass die Daten auch von einem verärgerten Mitarbeiter weitergeben worden sein könnten. Wäre jetzt spannend, ob dieser Vorfall juristische Konsequenzen hat. Spätestens Sommer 2018 gilt die Datenschutz-Grundverordnung, die da drakonische Strafen vorsieht.

Ähnliche Artikel:
Apache Struts 2 dringend patchen
Equifax-Hack Schlampereien: Apatche Struts ungepatcht
Oracle schließt Sicherheitslücke in Apache Struts 2
Equifax-Hack nutzte Apache Struts-Lücke


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Datenleck bei Schweizer Inkassounternehmen Eos

  1. Herr IngoW sagt:

    Wie bei allen Großen Unternehmen wird die Strafe wohl nicht so Riesig ausfallen. (siehe VW/Diesel)

  2. Dekre sagt:

    Interessant, EOS betrügt und bescheißt die sog. Säumigen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.