Daten von Schuldnern ungeschützt im Netz

Inkassofirma Intrum leistet sich Datenschutz-Desaster

Uhr
von René Jaun und yzu

In der Onlineplattform der Inkassofirma Intrum hat eine Sicherheitslücke geklafft. Fast drei Wochen lang waren die persönlichen Daten der Schuldner, inklusive ausstehender Beträge und Betreibungen, ohne Passwort einsehbar. Intrum hat die Schwachstelle Ende August behoben.

(Source: valerybrozhinsky / stock.adobe.com)
(Source: valerybrozhinsky / stock.adobe.com)

Kaum jemand spricht gern über Schulden – erst recht nicht fremden Leuten gegenüber. Doch gerade in diesem heiklen Bereich hat die Konsumentenzeitschrift "Beobachter" ein Datenschutz-Desaster aufgedeckt. Dabei geht es um Intrum, der grössten Schweizer Inkassofirma. In deren Onlineportal für Schuldnerinnen und Schuldnern klaffte während Wochen eine Sicherheitslücke.

Sind die Daten dort nämlich üblicherweise mit Nutzernamen und Passwort gesichert, konnte man in dieser Zeit auch durch einfaches Eintippen der siebenstelligen Kundennummer und ohne Kennwort das entsprechende zugewiesene Profil abrufen. So, schreibt die Zeitschrift, hätten möglicherweise Zehntausende Profile abgerufen werden können.

Einsehbar waren die Höhe aller Schulden, eine Liste sämtlicher Betreibungen, Rechnungen und Kontodaten der Gläubiger sowie Kontaktangaben der Schuldner. Letztere hätte man auch ändern können, merkt der "Beobachter" an.

Keine Hinweise auf systematische Datenschutzverletzung

Gegenüber der Zeitschrift räumt Intrum den Patzer ein. Als Ursache nennt das Unternehmen ein Softwareupdate. Bis zur Kontaktaufnahme durch den "Beobachter" am 28. August 2023 habe man nichts von der Schwachstelle gewusst. Immerhin habe Intrum schnell reagiert, die Plattform nach Mitteilung durch den "Beobachter" für mehrere Stunden offline genommen und das Problem behoben, heisst es im Bericht

In einer weiteren Stellungnahme, die Intrum auf seiner Website publiziert, schreibt die Firma, die Sicherheitslücke habe zwischen dem 9. und 29. August offengestanden, also fast drei Wochen lang. In dieser Zeit seien 2469 Anmeldeversuche verzeichnet worden, was dem normalen Niveau der Anmeldeaktivitäten entspreche. "Eine detaillierte Analyse des Datenverkehrs auf unserem Konsumentenportal ergab keine Hinweise auf eine systematische Datenverletzung", schreibt Intrum. Das Unternehmen beruft sich dabei auf eine forensische Analyse, an der auch externe Spezialisten beteiligt gewesen seien.

Man werde die Personen, die hinter den abgerufenen Konten stehen, proaktiv kontaktieren, um sicherzustellen, dass keine unbefugten Login-Versuche unternommen worden seien.

Vom "Beobachter" auf den Fall angesprochen, reagiert der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) mit einem allgemeinen Statement: "Wer im Besitz von Daten von privaten Personen ist, ist dafür verantwortlich, diese mit der nötigen Sorgfalt zu bearbeiten", zitiert die Zeitschrift daraus. Sie fügt an, dass die Behörde laut dem am 1. September 2023 in Kraft getretenen neuen Datenschutzgesetz eine Untersuchung eröffnen müsse, wenn ein bedeutender Verstoss dagegen vorliege.

Das Datenleck bei Intrum reiht sich ein in eine lange Liste ähnlicher Fälle. So waren in der Vergangenheit auch schon schützenswerte Daten des Organspenderegisters Swisstransplant, des Registers für Brustoperationen oder der Reisekarte Swisspass ungenügend geschützt. Die nationale Impfplattform "Meineimpfungen" musste als Folge eines Datenschutz-Desasters gar den Betrieb einstellen, wie Sie hier lesen können.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
Lw5j2mac