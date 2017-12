Es gibt Dinge, die Jan Brugger gerne über sich erzählt. Zum Beispiel, dass er mit 31 Jahren schon Geschäftsführer war. In Zürich arbeitete er für eine Immobilienfirma, er hat hier studiert, Publizistik. Vor einer Weile hat er sich fotografieren lassen, ohne Brille und mit weissem Kragen. So präsentiert er sich online, im Karrierenetzwerk Xing.

Es gibt, wie bei allen Menschen, auch Dinge, die Jan Brugger lieber für sich behält. Das sind die Informationen, die das Inkassounternehmen EOS über ihn besitzt.

Jan Brugger ist unzuverlässig. Gleich zwei Mal in zwei Monaten hat er Termine verpasst. Das geht aus der detaillierten Rechnung seines Kieferorthopäden hervor. Brugger macht Schulden. Mehr als 700 Franken konnte er im Sommer 2015 nicht bezahlen. Nachts knirscht Jan Brugger mit den Zähnen, steht er unter Druck?

Dies ist eine Geschichte über unangenehme Wahrheiten. Sie handelt davon, wie sie in falsche Hände geraten können. Am Ende sogar möglicherweise in die Hände von Hackern.

Im April 2017 schreibt ein Unbekannter an die «Süddeutsche Zeitung» (zum Bericht). Ob Interesse an Informationen aus einem Datenleck bestehe, das «den grössten deutschen Schuldeneintreiber bzw. eines der weltweit führenden Inkassounternehmen» betreffe? Wie er an die Daten gekommen ist und ob er ein Hacker ist, will er nicht verraten.

Pässe, Kreditkartenabrechnungen und Briefwechsel

Kurz darauf folgen Links zu Dateien. Insgesamt drei Gigabyte. Das Paket ist mit einem Passwort abgesichert, das auch eine Botschaft ist: «Use wisely and don't harm innocent people»: Man solle vernünftig mit dieser Lieferung umgehen und keinem Unschuldigen schaden. Diese seien bereits blossgestellt, findet der Informant.

Ihre Blösse sei auch der Grund gewesen, die Dokumente an die Presse weiterzugeben. Denn in den Daten sind Gläubiger und Schuldner vermerkt, ihre Meldeadressen und die Höhe der ausstehenden Forderungen. Betroffen sind Zehntausende Personen, verteilt auf 33'444 Dateien.

Die EOS-Gruppe ist eines der grössten Unternehmen in Europa, das sich auf das Eintreiben von Schulden spezialisiert hat. Der Konzern gehört zum Versandhandelsunternehmen Otto und hat allein im vergangenen Jahr rund 700 Millionen Euro damit verdient, Firmen, Behörden und Arztpraxen das Geschäft mit den Mahnungen und Betreibungen abzunehmen – gegen Gebühr. EOS nimmt unbezahlte Rechnungen entgegen und schreibt dann die Schuldner selbst an.

Doch die geleakten Dokumente, die offenbar von EOS-Computern stammen, gehen weit über offene Geldbeträge hinaus. Ärzte schicken ganze Krankenakten an das Unternehmen, mitsamt allen Vorerkrankungen der Patienten und den Details ihrer Behandlungen. EOS speichert eingescannte Ausweise und Reisepässe, seitenlange Kreditkartenabrechnungen, Briefwechsel, Telefonnummern. Daten, aus denen sich viel, sehr viel ableiten lässt über das Leben der Schuldner.

Dabei ist es nicht das erste Mal, dass so sensible Informationen über Privatpersonen an die Öffentlichkeit gelangen. Im September musste die amerikanische Wirtschaftsauskunftei Equifax bekannt geben, dass ihnen Daten von 143 Millionen Kunden gestohlen worden waren: Namen, Sozialversicherungsnummern, Geburtsdaten, Adressen. Anschliessend brach zuerst der Aktienkurs ein, dann trat der Chef zurück. Hacker nutzten damals die Schwachstelle aus, mit der es dem Informanten zufolge auch möglich gewesen sei, auf den Server von EOS zuzugreifen.

Jan Brugger heisst in Wahrheit anders, sein Name ist ein Pseudonym. Sein Weg in das Adressbuch eines Inkassobüros beginnt vor drei Jahren mit einem schiefen Zahn. Brugger wählt einen Kieferorthopäden am Bellevue in Zürich. Vor seiner ersten Behandlung sitzt er auf einem Sofa im Wartezimmer, ein Apparat stösst Wölkchen feuchter Luft in den Raum, auf seinem Schoss liegt ein Formular, die Sprechstundenhilfe hat es ihm über den Tresen gereicht. Medikamente, chronische Krankheiten? Ernste Operationen? Ein Schlag auf die Zähne? «Angaben unterstehen dem Arztgeheimnis», steht über dem Fragenkatalog, Brugger füllt ihn aus. Auf der Rückseite unterschreibt er, dass der Arzt «die für die Rechnungsstellung erforderlichen Daten» an ein Inkassobüro weiterleiten dürfe.

113 Seiten alleine aus einer Praxis

Dass er ein Jahr später tatsächlich eine Rechnung nicht begleichen kann, ahnt er da noch nicht. Auch nicht, dass all diese schweigepflichtigen Angaben über seinen Gesundheitszustand bei einem Inkassobüro und schliesslich einer deutschen Zeitung landen werden.

Oft, wenn in dieser Praxis ein Patient seine Rechnung nicht bezahlt, legen die Zahnarzthelferinnen diesen Fragebogen auf den Scanner – mitsamt allen intimen Antworten zur Krankheitsgeschichte. 113 Seiten finden sich allein aus dieser Praxis in dem Datensatz, von Patienten der vergangenen acht Jahre. Die meisten von ihnen sind Kinder, deren Eltern die Zahnspange für mehr als 2000 Franken nicht aufbringen konnten.

Ende November sitzt der Kieferorthopäde in einem Besprechungsraum, es ist still in seiner Praxis. Heute sind keine Patienten gekommen, dafür hat er einen Computerspezialisten einbestellt, einen weisshaarigen Herren mit schmalen Schultern. Der Kieferorthopäde selbst hat zum Gespräch ein schwarzes Hemd angezogen. Es geht um das Datenleck. Seine Hand zittert.

«Es ist nicht korrekt», sagt er: «Aber es ist nicht ganz so schlimm, weil der Patient unterschreibt, dass die Daten weitergegeben werden.» Im vergangenen Jahr habe sich ein Anwalt bei ihm beschwert wegen derselben Sache. Dessen Mandant hatte von EOS zusammen mit der Mahnung auch noch seine eigene Krankengeschichte per Post bekommen. Die Klage des Anwalts habe jedoch «nicht gefruchtet», sagt der Kieferorthopäde. Rechtlich sei er mit der Unterschrift des Patienten auf der sicheren Seite. «Normalerweise» deckten seine Mitarbeiterinnen die persönlichen Angaben mit einem kleinen Klebezettel ab, sagt er.

Tatsächlich gibt es in den Daten ganze drei Patientenbögen, auf denen die entscheidenden Angaben zu Vorerkrankungen des Patienten abgedeckt wurden. Sie sind aus dem Jahr 2012. Die restlichen Formulare schickten die Helferinnen des Arztes in den vergangenen Jahren ohne jede Schwärzung an EOS. «Das ist ein Fehler, natürlich», sagt der Doktor.

Für den Schweizer Datenschutzbeauftragten, Adrian Lobsiger, haben Ärzte, die Fotos und Krankenakten ihrer Patienten an den Inkassokonzern schickten, nicht nur eine Dummheit begangen: Sie haben gegen Gesetze verstossen. Das sei «unverhältnismässig und somit nicht zulässig», sagt Lobsiger. Details zur Gesundheit dürften Ärzte auch dann nicht weitergeben, wenn sie Patienten eine entsprechende Erklärung unterschreiben liessen. Nur die Informationen, «die für das Inkasso erforderlich sind», könnten verschickt werden, sagt er. In der Regel also: Name und Anschrift des Schuldners und der offene Rechnungsbetrag.

In der Zürcher Arztpraxis nutzen die Mitarbeiterinnen ein Web-Portal von EOS, um eingescannte Rechnungen und Patientenbögen ins Netz zu laden. «Schonen Sie Ressourcen und Nerven», wirbt EOS für einen seiner Onlinedienste, «delegieren Sie schnell und einfach an EOS. Direkt online. So geht seriöses Forderungsmanagement heute.» Auch die Informationen über Jan Brugger befinden sich in einem Dateiordner, der «Upload» heisst. Brugger sagt, er habe seine Schuld längst beglichen. Seine Daten hat EOS trotzdem nicht gelöscht.

Dabei ist der Konzern gesetzlich verpflichtet, alle Informationen über Schuldner zu löschen oder zu sperren, die er nicht mehr benötigt. Die Antwort auf Fragen zu dem Datenleck kommt aus dem Hauptsitz in Deutschland. EOS gehe allein bei seinem Schweizer Tochterunternehmen von einem «Verdachtsfall» aus, sagt eine Sprecherin. Nach ihrem bisherigem Kenntnisstand seien jedoch keine Daten gestohlen worden. Für das Schweizer Geschäft habe man in der vergangenen Woche vorsorglich «eine umfassende Revision der Prozesse angeordnet»: EOS will klären, weshalb sensible Daten von Schuldnern überhaupt erhoben und aufbewahrt wurden. Behörden und Kunden habe man jetzt über den Verdacht informiert.

Aus dem Datensatz, der dieser Zeitung vorliegt, lassen sich ganze Familienschicksale rekonstruieren. Da ist ein kleiner Junge aus einem Dorf, ein paar Kilometer von Luzern entfernt. Als ihn seine Mutter vor zwei Jahren zum Zahnarzt brachte, war er 11 Jahre alt, hatte Pausbacken, einen Topfschnitt und ein fröhliches Lachen – jedenfalls auf dem Foto, das EOS von ihm besitzt. Seine Mutter wirkt weniger glücklich. «Da ich im Moment fast nicht reden kann, heiser und so weiter, habe ich das Telefon nicht abgenommen», schreibt sie dem Zahnarzt per E-Mail. «Es geht uns auch nicht gut finanziell», schreibt sie weiter. «Ich hoffe, es gibt eine Lösung, wie wir das bezahlen können, per Raten usw.»

Die Sekretärin des Arztes antwortet noch am selben Tag: Kürzlich habe ein Zahnarztkollege in der Praxis angerufen und darum gebeten, ihm die Unterlagen des Jungen auszuhändigen. Sie habe dem Doktor aber gesagt, «dass wir keine Unterlagen herausgeben, solange die Rechnungen nicht bezahlt sind». Die Raten habe die Mutter schon oft genug versprochen und nie gezahlt. Also schaltete sie die Firma ein.

Die EOS-Gruppe arbeitet wie andere grosse Inkassounternehmen mit maschinell erstellten Mahnschreiben. EOS setze ihn «enorm unter Druck», schreibt ein junger Mann seiner Kreditkartenfirma, auch sein Brief ist in den Daten. Früher war EOS mal die Rechtsabteilung des Otto-Versands, heute ist der Konzern nach eigenen Angaben auf 55 Unternehmen in 26 Ländern gewachsen.

Es ist nicht angenehm, wenn Mitarbeiter eines Inkassobüros mit Pfändung drohen oder an der Tür klingeln, um eine Ratenzahlung auszuhandeln. Aber noch unangenehmer ist es, wenn öffentlich wird, dass man die Rechnungen seines Kindes nicht bezahlen kann. Besonders dann, wenn man zum Beispiel in einem so reichen Ort wie Freienbach lebt.

An jedem Wochentag um kurz nach halb zwölf beginnt der Mittagstisch in der Ganztagsschule Freienbach. Im Untergeschoss des blau-weissen Betonbaus sind die Tische der Schüler zu Reihen zusammengeschoben. Es gibt Wasser und Eistee in Karaffen und für jeden Schüler eine rote Serviette. Das Essen liefert die Firma IssGut in Metallbehältern. Salat bringt sie jeden Tag und dazu Brätchügeli mit Pastetli oder Fleischkäse mit Schupfnudeln. An der Tür hängt ein Zettel mit Mittagstischregeln. Regel Nr. 1: «Ich melde mich beim Eintreffen am Mittagstisch bei der Aufsichtsperson, damit die Anwesenheit kontrolliert werden kann.» Ein Menü kostet die Eltern zehn Franken pro Tag, vier Franken gibt der Bezirk dazu. Doch wenn die Eltern nicht bezahlen, schreibt der zuständige Herr vom Bezirkskassieramt einen Brief an EOS.

«Das Vorgehen kann energisch erfolgen.»

Der Kassier formuliert seine Wünsche mit Nachdruck. Die Worte, die ihm besonders wichtig sind, unterstreicht er. Die Eintreiber sollten nicht zu zaghaft an die Schuldner herantreten, schreibt er der Inkassofirma: «Das Vorgehen kann energisch erfolgen.» Energisch, unterstreicht er. Auch den Eltern der Schulkinder schickt er seine unterstrichenen Sätze. Zum Beispiel: «... sehen wir uns gezwungen, Ihr Kind vom Mittagstisch ab Schuljahr 16/17 zu suspendieren».

Einmal will der Schulrektor Rick Bachmann vermitteln. «Hoi», schreibt er dem Kassier. Er habe mit der Mutter gesprochen, sie könne den vollen Betrag von 300 Franken nicht aufbringen. Ihr Sohn werde von nun an vom Mittagstisch ausgeschlossen. «Damit werden keine weiteren Kosten generiert», schreibt er: «Ich hoffe, sie schafft es, ihre Finanzen auf die Reihe zu bringen und ihre Schulden zu begleichen.»

Doch die Frau schafft es auch Monate später nicht, das zeigen die EOS-Daten. Sie zeigen die Namen von Mutter und Sohn, ihre Anschrift und alle 28 Tage, an denen der Junge zwar im Untergeschoss der Schule gegessen hat, aber nicht dafür bezahlte.

Schulrektor Rick Bachmann hat sein Büro im Nachbarort. Er leitet mehrere Ganztagsschulen im Bezirk. Im Dorf wirbt ein Immobilienbüro für eine 115-Quadratmeter-Wohnung mit Balkon für 1,5 Millionen Franken. Was sind das für Familien, die Kinder auf Bachmanns Schulen schicken? «Ich denke schon, dass hier durchschnittlich mehr wohlhabende Leute sind, wo die Finanzen kein Problem sind.» Mehr als fünf Kinder seien es nicht im Jahr, deren Eltern mit dem Geld für den Mittagstisch in Verzug geraten. «Wenn ich mich zu etwas anmelde, dann sollte ich das auch bezahlen», sagt der Rektor.

Jan Brugger, der Zahnpatient, will sich jetzt einen Anwalt nehmen. Er möchte, dass der Kieferorthopäde seine persönlichen Daten löscht. Zwar könne er verstehen, dass Ärzte Inkassobüros beauftragen: «Aber dass Informationen, die uns persönlich betreffen, einfach weitergegeben werden, das ist scheisse.» Der Arzt müsse die Verantwortung dafür übernehmen, dass Patientendaten bis an eine deutsche Zeitung gelangten. Und auch dafür, dass sie vielleicht längst anderswo kursieren.

Denn der Informant beschrieb detailliert, wie Hacker offenbar eine Sicherheitslücke nutzten, die seit März bekannt war. Moderne Webseiten werden oft mit einem Grundgerüst gebaut, das sich Apache Struts nennt. Dort habe es eine Schwachstelle gegeben, über die es Hackern gelungen sei, auf EOS-Server zuzugreifen. Das ist illegal, aber für viele anscheinend kein Hindernis: Im Netz kursieren einfach zu befolgende Anleitungen. Spezielle Suchmaschinen erlauben es, gezielt nach Servern zu suchen, die für diese und ähnliche Schwachstellen anfällig sind. Hacker können so weltweit ungeschützte Systeme finden und ihre Ergebnisse gezielt auf deutschsprachige Länder eingrenzen.

IT-Abteilungen grosser Unternehmen verfolgen deshalb in der Regel genau, welche Sicherheitslücken gemeldet werden. Sie reagieren, so schnell es geht – sind die Umstände ideal, verpassen sie allen betroffenen Systemen binnen Stunden ein Update. Sie wissen: Die ersten Hacker spazieren sofort vorbei und testen die Netze. Ist es so weit, muss jede Tür ins Schloss fallen. Sonst sind ungebetene Gäste im Haus.

Im Fall von EOS soll es auch Wochen und Monate später noch möglich gewesen sein, auf die Dokumente von Jan Brugger und der anderen Betroffenen zuzugreifen, sagt der Informant. Ihm zufolge gibt es Hinweise, dass sogar mehrere Angreifer gleichzeitig in den Netzwerken des Unternehmens unterwegs gewesen seien.

Die EOS-Sprecherin sagt, dass das Unternehmen zwar Anfang April Versuche bemerkt habe, «ungewöhnlich viele Pakete» an fremde Computer zu senden. Es habe jedoch «trotz intensivster Analysen nach wie vor nicht feststellen» können, «dass wir Opfer eines erfolgreichen Hacker-Angriffs geworden sein sollen». EOS habe externe Unterstützung in Anspruch genommen. Die Systeme würden nun erneut analysiert, auch ist die betroffene Webseite derzeit vom Netz genommen. Nach den Unregelmässigkeiten im Frühling habe man den «Server komplett neu aufgesetzt. Die Sicherheitslücke wurde damit geschlossen.»

Es lässt sich nicht überprüfen, ob tatsächlich ein Angreifer von aussen die EOS-Daten stahl oder ob sie von jemandem weitergegeben wurden, der bereits Zugriff auf die sensiblen Informationen der Schuldner hatte – von einem Mitarbeiter zum Beispiel. Die Dokumente aber sind nach den vorliegenden Recherchen echt.

Als Jan Brugger im vorletzten Jahr Geldprobleme hatte, ignorierte er die Rechnungen des Kieferorthopäden für eine Weile. Brugger pendelte damals zwischen der Wohnung seiner Freundin und dem Haus seiner Eltern. Seine eigene Post lag wochenlang im Briefkasten, bis sich schliesslich EOS bei ihm meldete. Zum Schluss, sagt er, habe er mehr als 300 Franken für Inkassogebühren bezahlt.

