/Business

Sensible Schuldnerdaten eines Inkassounternehmens öffentlich gemacht

WIRED Staff 27.12.2017

Ein Schweizer Inkassounternehmen hat mit einem Datenleck zu kämpfen, das private Daten von über Zehntausend Betroffenen Dritten zugänglich machte. Offenbar sammelte das Unternehmen weitaus mehr Daten als rechtlich zugelassen.

Die Schweizer Tochter der Eos-Gruppe, einem der größten Inkassounternehmen in Europas, hat einen Datensatz von knapp drei Gigabyte an Schuldnerdaten durch ein schwerwiegendes Datenleck Dritten zugänglich gemacht. Möglicherweise ist die Firma Opfer eines Hackangriffs, eventuell haben aber auch interne Quellen die sensiblen Daten anderen zugänglich gemacht, berichtet die Süddeutsche Zeitung.

Eos nimmt Aufträge von Unternehmen, Behörden oder etwa Ärzten entgegen und übernimmt danach die Abwicklung mit den Schuldnern. Nach Angaben des Unternehmens verfügt Eos über 55 Unternehmen in 26 Ländern und zählt damit zu den größten Finanzdienstleistern in Europa. Wenn es nach Experten geht, reicht für die Eintreibung der Schulden allerdings ein Minimalsatz an Daten aus — lediglich Name, Anschrift und der offene Betrag sind demnach notwendig. Die Schuldnerdaten aus dem entwendeten Datensatz gehen jedoch teilweise weit darüber hinaus. Laut den Informationen der Süddeutschen enthielt der Datensatz einen mit „Uploads“ gekennzeichneten Ordner, der unter anderem Krankenakten beinhaltete.

Diese wurden Eos offenbar von den Ärzten der Schuldner zugesendet. Weiterhin speicherte das Inkassounternehmen demnach eingescannte Ausweise, Briefwechsel und Kreditkartenabrechnungen. Generell sind Unternehmen allerdings verpflichtet, sämtliche Informationen über Schuldner zu löschen oder zu sperren, sofern sie nicht mehr benötigt werden.Fraglich ist ebenfalls, ob Ärzte überhaupt berechtigt waren, diese Daten weiterzuleiten. Adrian Lobsiger, der Datenschutzbeauftragte der Schweiz, beschreibt das Weitergeben solcher Informationen als Straftat. Schließlich sei ein solches Vorgehen „unverhältnismäßig und somit nicht zulässig.“ Eos kündigte an, aufzuklären, warum solche Daten überhaupt erhoben wurden.

Bereits Anfang April registrierte Eos die Sendung von verdächtig vielen Datenpaketen an Fremde, schloss nach ausgiebiger Analyse allerdings einen Hackangriff aus. Die Server wurden mittlerweile komplett neu aufgesetzt, die Sicherheitslücke soll damit geschlossen sein. Unklar bleibt nach wie vor, ob die Daten von Hackern erbeutet wurden, oder ob sie möglicherweise von Angestellten selbst weitergegeben wurden.