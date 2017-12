Durch ein schwerwiegendes Datenleck beim Inkassounternehmen EOS Schweiz sind Zehntausende sensible Schuldnerdaten in die Hände Dritter gelangt. Ein Informant hat der «Süddeutschen Zeitung» Anfang April mehr als 33'000 Dateien zugespielt, insgesamt drei Gigabyte. Es handelt sich um Daten der Schweizer Tochter der EOS-Gruppe, einem der grössten Inkassounternehmen Europas.

Die Dokumente enthalten Namen der Gläubiger und Schuldner, ihre Meldeadressen und die Höhe der ausstehenden Forderungen. Betroffen sind Zehntausende Menschen, die grösstenteils in der Schweiz leben. Die Dokumente reichen teilweise bis ins Jahr 2002 zurück.

Besonders brisant ist der Inhalt eines Ordners mit dem Namen «Uploads». Die enthaltenen Unterlagen veranlassten den Informanten, die Dokumente an die «Süddeutsche Zeitung» weiterzugeben. Ärzte schickten EOS ganze Patientenakten, mitsamt aller Vorerkrankungen der Patienten und den Details ihrer Behandlungen. Das Inkassounternehmen speicherte eingescannte Ausweise und Reisepässe, seitenlange Kreditkartenabrechnungen, Briefwechsel und private Telefonnummern. Aus diesen Daten lassen sich detaillierte Rückschlüsse auf das Leben der Schuldner ziehen.

Weitergabe von Patientenakten strafbar

Als Inkasso-Dienstleister hat sich EOS darauf spezialisiert, Schulden einzutreiben. Die EOS-Gruppe gehört zum deutschen Versandhandelskonzern Otto und hat im vergangenen Jahr mehr als 660 Millionen Euro umgesetzt. Das Geschäftsmodell: Firmen, Behörden oder Ärzte beauftragen EOS, gegen eine Gebühr Mahnungen zu verschicken oder Betreibungen einzuleiten. EOS nimmt unbezahlte Rechnungen entgegen und wendet sich dann direkt an die Schuldner. Mit 55 Unternehmen in 26 Ländern zählt die EOS-Gruppe nach eigenen Angaben zu den grössten Finanzdienstleistern Europas.

Um Schulden einzutreiben, reichen nach Expertenmeinung Name und Anschrift des Schuldners und der offene Rechnungsbetrag. Teilweise enthalten die Dokumente aber Informationen, die weit darüber hinausgehen. Wer Inkassounternehmen sensible Dokumente wie Patientenakten zur Verfügung stelle, begehe nicht nur eine Dummheit, sondern eine Straftat, sagt der Schweizer Datenschutzbeauftragte, Adrian Lobsiger. Ein solches Vorgehen sei «unverhältnismässig und somit nicht zulässig».

Grundsätzlich sind Unternehmen gesetzlich verpflichtet, alle Informationen über Schuldner zu löschen oder zu sperren, die nicht mehr benötigt werden. Die EOS-Gruppe hat ihren Hauptsitz in Hamburg. Betroffen sind jedoch nur Kunden von der Schweizer Tochterfirma.

Hacker soll IT-Sicherheitslücke ausgenutzt haben

Man habe gleich nach der Anfrage der Süddeutschen Zeitung «eine umfassende Revision der Prozesse angeordnet», teilt eine Firmensprecherin mit. EOS wolle nun klären, weshalb sensible Daten von Schuldnern überhaupt erhoben und aufbewahrt wurden. Schweizer Behörden und Kunden habe man nun über das Leck informiert.

Nach Angaben des Informanten habe ein Hacker eine IT-Sicherheitslücke ausgenutzt, um an die Daten zu kommen. Vielen moderne Webseiten basieren auf einem Grundgerüst namens Apache Struts. Dort habe es eine Schwachstelle gegeben, über die es Dritten gelungen sei, auf EOS-Server zuzugreifen.

Es handelt sich um die gleiche Schwachstelle, die Hacker ausgenutzt haben, um sich im vergangenen September illegal Daten von 143 Millionen US-Amerikanern zu verschaffen: Namen, Sozialversicherungsnummern, Geburtsdaten, Adressen. Betroffen war die Wirtschaftsauskunftei Equifax. Anschliessend brach erst der Aktienkurs ein, dann trat der Chef zurück.

Auf Nachfrage teilt eine EOS-Sprecherin mit, dass Anfang April Versuche bemerkt wurden, in denen «ungewöhnlich viele Pakete» an fremde Computer gesendet werden sollten. EOS habe jedoch «trotz intensivster Analysen nach wie vor nicht feststellen» können, «dass wir Opfer eines erfolgreichen Hacker-Angriffs geworden sein sollen». EOS gehe von einem «Verdachtsfall» aus und habe externe Unterstützung in Anspruch genommen.

Nach den Unregelmässigkeiten im Frühling habe man den «Server komplett neu aufgesetzt. Die Sicherheitslücke wurde damit geschlossen». Nun werden die Systeme erneut analysiert. Es lässt sich nicht sagen, ob tatsächlich ein Angreifer von aussen die EOS-Daten stahl, oder ob sie von jemandem weitergegeben wurden, der bereits Zugriff hatte – einem verärgerten Mitarbeiter, zum Beispiel. Die betroffene Webseite ist derzeit offline.

