Intrum: Daten von Schuldnern waren offen zugänglich
Durch eine Sicherheitslücke bei Intrum war mit wenigen Klicks das Verzeichnis der Schuldner offengelegt. Betroffen waren die persönlichen Daten von möglicherweise Zehntausenden Personen.
Veröffentlicht am 1. September 2023 - 11:32 Uhr
Intrum gilt als die grösste Inkassofirma der Schweiz. Ihr Geschäft ist es, Schulden einzutreiben. Die Daten, die sich bei Intrum sammeln, sind entsprechend sensibel. Wegen einer Sicherheitslücke konnte sich nun aber jede und jeder durch private Schuldenverzeichnisse klicken. Zu sehen waren nicht nur die Namen der Schuldner, sondern sämtliche Betreibungen, Rechnungen oder Kontodaten. Denn betroffen vom Leck war ausgerechnet das Kundenportal, auf dem betriebene Personen ihre offenen Forderungen sehen und begleichen können.
Wie viele Profile einsehbar waren, gibt Intrum nicht preis. Der Beobachter geht aufgrund seiner Recherche aber von etlichen Betroffenen aus, möglicherweise Zehntausenden. Die Sicherheitslücke bestand bis zum 28. August und wurde, als der Beobachter Intrum darauf aufmerksam machte, geschlossen. Wie lange das Verzeichnis offen war, ist laut Intrum noch nicht klar.
Log-in ohne Passwort
Üblicherweise können Schuldner auf ihre Profile bei Intrum nur zugreifen, wenn sie ihr Passwort und ihren Nutzernamen in Form eines verschlüsselten Zahlencodes eingeben. Während des Sicherheitslecks reichte es jedoch, beim Benutzernamen eine beliebige Nummer einzutippen. Das Feld des Passworts konnte man frei lassen und auf «Anmelden» klicken. War die Nummer einem Schuldner zugeordnet, konnte man das persönliche Profil der Person anschauen.
Der Beobachter hat es mit mehreren siebenstelligen Nummern ausprobiert und erhielt innert kürzester Zeit Einblick in die hochsensiblen Daten von mehreren Personen. Glück brauchte es dafür nicht. Und viel Geduld ebenfalls nicht.
Auf den Profilen präsentierte sich zuoberst auf der Seite die Höhe aller Schulden. Weiter unten waren sämtliche Betreibungen im Detail aufgelistet. So konnte man auch die Rechnungen und Kontodaten der Gläubiger anschauen. Doch damit nicht genug: Selbst Name, Adresse und Handynummer der Betriebenen lagen offen. Mit einem Klick liessen sich diese privaten Daten sogar ändern. Man konnte einer betroffenen Person beispielsweise ganz einfach eine neue E-Mail-Adresse einrichten.
Schuld war ein Software-Update
Kurz nachdem der Beobachter Intrum auf die Datenlücke hingewiesen hatte, schloss die Firma das Kundenportal. Das passierte am 28. August. Jaël Fuchs, Kommunikationsverantwortliche von Intrum, schreibt: «Die Sicherheitslücke war bis zu diesem Zeitpunkt nicht bekannt.»
Das Problem, so erklärt Intrum auf Anfrage, sei auf die Einführung einer neuen Codeversion zurückzuführen. Ein Software-Update wurde auf das System gespielt und verursachte die Sicherheitslücke. Wie Intrum schreibt, könne eine böswillige Verursachung von Dritten ausgeschlossen werden.
Die Plattform wurde in der Nacht auf den 29. August über mehrere Stunden vom Netz genommen, um das Problem zu beheben. Mittlerweile ist das Kundenportal wieder online, und das Problem scheint gelöst: Man muss wieder ein Passwort eingeben, um auf die Schuldnerprofile zuzugreifen.
Die strafrechtlichen Folgen
Welche Konsequenzen dieses gravierende Datenleck für Intrum haben wird, ist noch nicht klar. Eine Woche nach Bekanntgabe des Datenlecks hat der eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) Meldungen von Bürgerinnen und Bürgern zum Vorfall erhalten. Das teilt er auf Anfrage mit. Er schreibt: «Wer im Besitz von Daten von privaten Personen ist, ist dafür verantwortlich, diese mit der nötigen Sorgfalt zu bearbeiten.» Und er muss für die Sicherheit der Daten sorgen und sie vor unberechtigten Zugriffen und Verlust schützen.
Gemäss neuem Datenschutzgesetz muss der EDÖB eine Untersuchung eröffnen, wenn ein bedeutender Verstoss gegen das Datenschutzgesetz vorliegt. Ob er eine Untersuchung im Fall von Intrum einleiten wird, sei noch nicht klar.
Wer glaubt, vom Datenleck betroffen zu sein, kann sich über diese Website beim EDÖB melden.
Aktualisiert am 7. 9. 2023 um 10.43 Uhr.
Dieser Artikel entstand aufgrund eines Hinweises auf unserer Whistleblower-Plattform sichermelden.ch.
Haben Sie in einem Betrieb, bei einer Behörde gravierende Missstände beobachtet oder erlebt? Weisen die zuständigen Stellen Ihre Meldung ab? Dann können Sie sich gerne via sichermelden.ch an uns wenden. Senden Sie uns Infos und Dokumente auch absolut anonym .
1 Kommentar
Antwort des EDÖB:
Leider müssen wir Ihnen mitteilen, dass in dem von Ihnen geschilderten Fall die gesetzlichen Voraussetzungen für ein Tätigwerden des EDÖB im obgenannten Sinn nicht erfüllt sind: In der Zeit zwischen dem 9. – 29. 08.2023 bestand gemäss Auskunft von Intrum zwar eine Schwachstelle in der Passwortsicherheit des Konsumentenportals, was auf einen Verstoss gegen Artikel 8 DSG hindeutet. Die Schwachstelle wurde gemäss den uns verfügbaren Informationen in der Zwischenzeit aber behoben, und es bestehen derzeit keine Hinweise darauf, dass die Schwachstelle ausgenutzt wurde, was zu einem erhöhten Risiko für die Persönlichkeit der betroffenen Personen hätte führen können. Gemäss den Angaben von Intrum werden zudem die potentiell betroffenen Kontoinhaberinnen und -inhaber direkt kontaktiert.
Vor diesem Hintergrund bestehen keine Anzeichen, dass die fragliche Datenbearbeitung der Intrum immer noch gegen die Datenschutzvorschriften verstossen könnte. Der EDÖB sieht deshalb zum jetzigen Zeitpunkt keine Veranlassung eine formelle Untersuchung gegen Intrum zu eröffnen. Sollten wir aufgrund anderer Hinweise ein Tätigwerden als angezeigt erachten, werden wir die Öffentlichkeit entsprechend informieren.