![\"Sicherheit\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" "\\"Sicherheit\\"")
Schweres Datenleck mit Datenskandal bei dem zur deutschen Otto-Gruppe geh\u00f6renden Inkasso-Unternahmen Eos. Rund 3 Gigabyte an sensiblen Schuldnerdaten sind in unbefugte H\u00e4nde gelangt. Brisant ist, dass in den Daten \u00fcber Schweizer Schuldner Informationen gespeichert waren, deren Erhebung auch nach Schweizer Recht illegal ist.<\/p>\n
<\/p>\n
Der insgesamt 3 Gigabyte gro\u00dfe Datensatz enth\u00e4lt die Daten von zehntausenden tausenden Schweizer Schuldnern, die von der Schweizer Tochter des Inkassounternehmens Eos gesammelt wurden.<\/p>\n Die Eos Gruppe<\/a> ist als Holding mit Sitz in Hamburg angesiedelt<\/a> und geh\u00f6rt zu den gr\u00f6\u00dften Inkassounternehmen Deutschlands. Das Ganze ist aus der Otto-Gruppe hervorgegangen. Der Wikipedia\u2013Artikel \u00fcber die Eos Gruppe<\/a> beschreibt einige Details (auch kritisches). Das Gesch\u00e4ftsmodell von Eos besteht darin, Schulden f\u00fcr Firmen, Beh\u00f6rden oder \u00c4rzte einzutreiben. In 2016 lag der Umsatz bei mehr als 660 Millionen Euro. <\/p>\n Laut diesem Bericht<\/a> der S\u00fcddeutschen Zeitung scheint das Unternehmen Daten gesammelt zu haben, die teilweise nicht zul\u00e4ssig sind. Die geleakten Dateien reichen bis in das Jahr 2002 zur\u00fcck und enthalten die Namen von Gl\u00e4ubigern und Schuldnern samt Meldeadressen in der Schweiz sowie die jeweiligen Forderungsh\u00f6hen (was zul\u00e4ssig und notwendig ist). <\/p>\n Dar\u00fcber hinaus hat man aber in einem Ordner Upload<\/em> wohl von Kunden hochgeladene Dokumente gespeichert. Diese reichen von eingescannten Ausweisen und Reisep\u00e4ssen, seitenlangen Kreditkartenabrechnungen, \u00fcber Briefwechsel bis hin zu privaten Telefonnummern. \u00c4rzte luden zudem ganze Krankenakten, mitsamt aller Vorerkrankungen der Patienten und den Details ihrer Behandlungen in diesem Ordner hoch.<\/p>\n Diese Daten waren wohl der Grund, warum der Informant sich an die S\u00fcddeutsche Zeitung wandte. Denn die Speicherung ist auch nach dem Schweizer Datenschutzrecht illegal. \"Wer Inkassounternehmen sensible Dokumente wie Krankenakten zur Verf\u00fcgung stelle, begehe nicht nur eine Dummheit, sondern eine Straftat\", wird der Datenschutzbeauftragte der Schweiz, Adrian Lobsiger, von der S\u00fcddeutschen Zeitung zitiert. Ein solches Vorgehen sei \"unverh\u00e4ltnism\u00e4\u00dfig und somit nicht zul\u00e4ssig\". <\/p>\n Johannes Caspar, Datenschutzbeauftragte aus Hamburg, f\u00fchrt aus, dass die Firma intime Details \u00fcber Patienten sofort vernichten m\u00fcsse, wenn \u00c4rzte sie ohne deren ausdr\u00fcckliche Einwilligung weiterleiten. <\/p>\n Die S\u00fcddeutsche Zeitung fragte bei Eos nach und eine Eos-Sprecherin teilte mit, dass Anfang April Versuche bemerkt wurden, in denen \"ungew\u00f6hnlich viele Pakete\" an fremde Computer gesendet werden sollten. Laut Sprecherin habe Eos jedoch \"trotz intensivster Analysen nach wie vor nicht feststellen k\u00f6nnen, dass wir Opfer eines erfolgreichen Hacker-Angriffs geworden sein sollen\". Eos gehe, laut S\u00fcddeutsche Zeitung, von einem \"Verdachtsfall\" aus und habe externe Unterst\u00fctzung in Anspruch genommen. <\/p>\n Zudem habe man den \"Server komplett neu aufgesetzt. Die Sicherheitsl\u00fccke wurde damit geschlossen\". Nun w\u00fcrden die Systeme, laut Eos, erneut analysiert. In der S\u00fcddeutschen Zeitung spekuliert die Sprecherin, dass die Daten auch von einem ver\u00e4rgerten Mitarbeiter weitergeben worden sein k\u00f6nnten. W\u00e4re jetzt spannend, ob dieser Vorfall juristische Konsequenzen hat. Sp\u00e4testens Sommer 2018 gilt die Datenschutz-Grundverordnung, die da drakonische Strafen vorsieht.<\/p>\n \u00c4hnliche Artikel:<\/strong> Schweres Datenleck mit Datenskandal bei dem zur deutschen Otto-Gruppe geh\u00f6renden Inkasso-Unternahmen Eos. Rund 3 Gigabyte an sensiblen Schuldnerdaten sind in unbefugte H\u00e4nde gelangt. Brisant ist, dass in den Daten \u00fcber Schweizer Schuldner Informationen gespeichert waren, deren Erhebung auch nach Schweizer … Weiterlesen Ein Informant hat der S\u00fcddeutschen Zeitung bereits im April 2017 die Daten in Form von 33.000 Dateien zukommen lassen. Laut S\u00fcddeutscher Zeitung gab der Informant an, dass ein Hacker eine IT-Sicherheitsl\u00fccke in Apache Struts ausgenutzt habe, um an die Daten zu kommen. Ich hatte im Artikel Apache Struts 2 dringend patchen<\/a> im M\u00e4rz 2017 auf diese L\u00fccke hingewiesen. Der Equifax-Hack lief \u00fcber die gleiche L\u00fccke. <\/p>\n
Eos Inkasso<\/h2>\n
Illegale Speicherung von Daten <\/h2>\n
Versto\u00df gegen Deutsches und Schweizer Recht<\/h2>\n
Man hat bei Eos reagiert \u2026<\/h2>\n
Apache Struts 2 dringend patchen<\/a>
Equifax-Hack Schlampereien: Apatche Struts ungepatcht<\/a>
Oracle schlie\u00dft Sicherheitsl\u00fccke in Apache Struts 2<\/a>
Equifax-Hack nutzte Apache Struts-L\u00fccke<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"