Inhalt
Tausende registrierte Kundendienstanrufe könnten von Dritten abgefangen werden.
„Dieses Gespräch kann zu Schulungszwecken aufgezeichnet werden“ – Wer den Kundenservice eines Unternehmens anruft, hört oft diese Ansage. Was viele nicht wissen: Spezialisierte Unternehmen zeichnen oft Telefongespräche im Auftrag von Unternehmen auf. Zum Beispiel das Schweizer Unternehmen NTH mit Sitz in Bern. NTH zeichnet täglich Tausende von Telefonanrufen von in- und ausländischen Kunden auf. Aber diese Aufzeichnungen waren bis vor kurzem über den Browser verfügbar, sagt ein Computersicherheitsexperte, der anonym bleiben möchte. Es zeigt «Kassensturz» und «SRF Investigativ», wo er diese Daten entdeckt hat. Er musste kein Passwort hacken oder ein Sicherheitssystem umgehen.
„Eindeutiger Verstoß gegen das Datenschutzrecht“
Der Computersicherheitsexperte zeigt einen Datensatz mit Telefonnummern: Wer hat die Nummer angerufen, mit dem entsprechenden Datum, der Uhrzeit und dem Datensatz. Beispiel: Eine Person, die an einem Kreuzworträtsel für eine Gratiszeitung teilgenommen hat. Neben der Lösung steht Ihr Name, Name, genaue Adresse und Telefonnummer auf dem Band. Ein weiteres Beispiel: Eine ältere Frau beschwert sich bei einem Kundendienstzentrum darüber, dass sie teure SMS auf ihrem Handy erhält. Außerdem steht dort Ihr Name, Wohnort und Handynummer. Der Informant erklärt, dass Tausende solcher personenbezogener Daten verfügbar sind.
Unsichere Daten im Internet seien «ein klarer Verstoß gegen das Datenschutzgesetz», sagt Ursula Sury, Professorin für Datenschutzrecht an der Hochschule Luzern. Wer Aufnahmen im Internet aufzeichnet, ist verpflichtet, alles zu tun, um deren Sicherheit zu gewährleisten.
„Sicher heißt: Zugriff von außen richtig absichern, aber natürlich auch innerhalb dieses Unternehmens so absichern, dass nur berechtigte Personen darauf zugreifen können.“
Aber das ist nicht alles. Darunter sind Aufzeichnungen sehr persönlicher Beratungsgespräche von Shiva Spirit TVs Beratungen zum spirituellen Leben. Brisant: Bei diesen Gesprächen wird nicht angekündigt, dass das Gespräch aufgezeichnet wird. Das sei sogar strafbar, sagt Datenschutzrechtsprofessorin Ursula Sury. NTH schreibt, es liege in der Verantwortung von “Dienstleistern wie Shiva Spirit TV, Anrufer über die Möglichkeit der Gesprächsaufzeichnung zu informieren”. Shiva Spirit TV sagt, sie hätten keine Kenntnis von diesen Aufnahmen.
Bildunterschrift: SRF
„Mehrere Monate“-Schwachstelle
NTH schreibt im „Kassensturz“, dass sie den Datenschutz und jede Bedrohung ihrer Daten sehr ernst nehmen. Wir haben den Fehler auch sofort nach Bekanntwerden behoben und die festgestellte Sicherheitslücke geschlossen.“ Überprüfungen hätten ergeben, dass die Aufzeichnungen „außer den investigativen SRF-Journalisten und ihren „IT-Experten“ niemandem bekannt waren“, schreibt NTH. Damit sich “solche Vorfälle nicht wiederholen”, wurde eine Arbeitsgruppe eingerichtet. Fakt ist, dass die Sicherheitslücke schon seit mindestens einigen Monaten besteht, sagt der Computerexperte. Eine solch schwerwiegende Sicherheitslücke sollte nicht vorkommen, insbesondere in einem Computerunternehmen.
Er fügte hinzu: „Das Unternehmen hat sehr sensible Daten und speichert sie auf einem Server, auf dem NTH keine Sekunde damit verbracht hat, zu prüfen, ob sie sicher sind.“ Diese Überprüfung ist eigentlich eine Routine und dieses Leck ist leicht zu erkennen.
EDÖB-Informationen
Öffnen Sie die Schachtel. Schließen Sie die Schachtel
Auch «SRF Investigativ» und «Kassensturz» haben den Eidgenössischen Datenschutzbeauftragten EDÖB über Datenlecks informiert. Dies hat eine vorläufige Untersuchung eingeleitet und erfordert weitere Informationen von NTH, um über die Notwendigkeit zu handeln zu entscheiden.