Zum Inhalt springen

Header

Zur Übersicht von Play SRF Audio-Übersicht

Inhalt

Gehackte Gesundheitsdaten Datenleck bei Spielsucht-Beratung: Über 1300 Personen betroffen

Hacker veröffentlichen Namen und Schulden von gesperrten Casinobesuchern. Viele Betroffene wurden nicht informiert.

Autor: 

25.07.2025, 12:00

Teilen

Seine Frau wisse nichts von seiner Spielsucht, steht es in der Akte eines Glückspielsüchtigen. «Hat 10 Betreibungen, Konto im Minus», steht bei einem anderen. «Kontrollverlust, über 30 Einzahlungen im Onlinecasino in 5 Tagen. Kleinkredit, kleines Kind zuhause» ist bei einer dritten Person notiert.

Und noch mehr: Die Akten verraten neben den Namen zahlreiche weitere Details wie Adresse, Beruf, Einkommen, Anzahl Kinder oder Lohnauszüge. Und auch wie viel Geld bereits verspielt wurde. Teilweise sind es Hunderttausende von Franken – verspielt bei Roulette, Black Jack oder an Automaten in Schweizer Casinos oder Online-Casinos.

Was niemand je wissen sollte, liegt nun offen für die ganze Welt. Wie Recherchen von SRF Data zeigen, sind die persönlichen Daten dieser Spielsüchtigen sowie von über 1300 weiteren Personen im Darknet einsehbar, als Teil des sogenannten Radix-Hacks. Dabei dürfte es sich um eines der grössten Datenlecks einer Schweizer Gesundheitsorganisation handeln.

Die Stiftung Radix betreibt mehrere Kompetenzzentren im Gesundheitsbereich. Im Juni wurde bekannt, dass Radix Opfer der Hackergruppe «Sarcoma» wurde, die grosse Mengen teils heikler Daten erbeutete. Die Hacker forderten in Folge Geld von Radix, andernfalls würden sie die Daten im Netz veröffentlichen.

Wenige Wochen später stellten die Hacker 1.3 Terabyte Daten ins Darknet. Radix reagierte umgehend. In einer Pressemitteilung schrieb die Stiftung, die Situation sei unter Kontrolle und man habe die nötigen Behörden und Betroffenen informiert.

Viele Betroffene unzureichend informiert

Nun zeigen Recherchen von SRF Data: Zumindest für viele Betroffene ist die Situation nicht unter Kontrolle. Im Gespräch sagten viele, sie würden nicht wollen, dass die Öffentlichkeit erfahre, dass sie aktuell oder früher mal bei einem Casino gesperrt wurden.

Die meisten der Betroffenen sind über eine freiwillige oder auferlegte Casinosperre ans «Zentrum für Spielsucht und andere Verhaltenssüchte» gelangt. Dieses wird von Radix betrieben und tätigt Abklärungen im Auftrag von Casinos, um herauszufinden, ob eine Person entsperrt und wieder zum Glücksspiel zugelassen werden soll. Für solche Abklärungen sind Dokumente wie aktuelle Lohnunterlagen, Betreibungs­register­auszüge und manchmal auch ein psychologisch geführtes Gespräch nötig. Heikle Dokumente, die jetzt im Internet zu finden sind.

So finden Sie heraus, ob Sie betroffen sind

Box aufklappen Box zuklappen

Wurden Sie für den Casinobesuch oder für Online-Gambling gesperrt und haben in den letzten Jahren versucht, sich entsperren zu lassen? Dann ist die Wahrscheinlichkeit hoch, dass sensible Daten von Ihnen betroffen sein könnten. Am besten melden Sie sich direkt bei der Stiftung Radix unter spielsucht-behandlung@radix.ch

Von zehn Betroffenen, die SRF kontaktiert hat, sagt die Mehrheit, dass sie nicht über den Hack informiert worden seien. Eine Person hat erst nach Kontaktaufnahme durch SRF eine Mail entdeckt – im Spam. Zwei weitere haben zwar Benachrichtigungen erhalten, doch beim Lesen der Benachrichtigungen realisierten sie nur teilweise, um welche heiklen Daten von ihnen es ging.

In einem Brief von Ende Juni steht: «Derzeit ist noch nicht identifizierbar, welche Daten wie betroffen sind und namentlich, ob auch besonders schützenswerte Personendaten von Klientinnen und Klienten entwendet wurden.»

Viele der Betroffenen zeigten sich nach Kontaktaufnahme durch SRF schockiert. Einer sagt: «Ich muss ganz ehrlich sagen, ich habe nichts von Radix gehört. Ich habe von SRF zum ersten Mal am Telefon gehört, dass meine Daten gehackt worden sind.» Er wolle nicht, dass die Leute wüssten, dass er ins Casino gehe und er sich mal habe sperren lassen oder das Gerücht kursiere, dass er früher spielsüchtig gewesen sei. Ein anderer schreibt: «In einem solchen Fall sollte die Information der betroffenen Personen höchste Priorität haben.»

Dies sieht auch Dominika Blonski, Datenschutzbeauftragte des Kantons Zürich, so: «Wenn so eine Institution sich entscheidet, die Information von den betroffenen Personen vorzunehmen, dann müssen Sie das umfassend machen. Und sie müssen sie vor allem auf eine Art und Weise informieren, dass die das auch verstehen.»

Radix schreibt dazu, man habe alles in ihrer Macht Stehende unternommen, um die betroffenen Personen vorab und mit der gebotenen Sensibilität zu informieren, vor der Veröffentlichung im Darknet. «Die Benachrichtigungen erfolgten je nach Verfügbarkeit der Kontaktdaten per E-Mail, SMS oder Briefpost.»

Allerdings habe man aus Gründen des Datenschutzes darauf geachtet, explizit nicht zu erwähnen, warum genau jemand diesen Brief bekommen habe. «Uns ist bewusst, dass diese notwendige Zurückhaltung dazu geführt haben kann, dass einige Personen den Zusammenhang nicht sofort erkennen konnten.» Man würde künftig versuchen, die Kommunikation transparenter zu gestalten.

Auch Protokolle von Gruppensitzungen betroffen

Die Daten, welche SRF einsehen konnte, zeigen ein Spiegelbild unserer Gesellschaft und den geheimen Abgründen der Einzelnen. «140'000 Franken Schulden», steht als Einschätzung eines Falles. Oder: «Gibt auf einmal sein ganzes Salär aus, ist konstant im Minus», «Bleibt gesperrt, Kontrollverlust, spielt viel und häufig, suchtartiges Spielmuster, Empfehlung: Therapie.»

Auch «grosser Fisch» in den Daten

Box aufklappen Box zuklappen

Für viele Betroffene könnte dieser Hack noch jahrelange Folgen nach sich ziehen. Doch nicht allen dürfte es so gehen. Aus den gehackten Dokumenten geht hervor, dass Swiss Casinos Zürich in den letzten Jahren versehentlich einen Milliardär aus dem nahen Osten (Name der Red. bekannt) sperrte, weil dieser in sehr kurzer Zeit und während sehr vielen Tagen eine grosse Menge Geld verspielte. Dieser wehrte sich und wollte sich entsperren lassen. Erst nach Einsicht in dessen Bankunterlagen gelangte Swiss Casinos Zürich zur Einsicht: «Leider haben wir in diesem Fall einen grossen Fisch gesperrt» – und liess ihn wieder zu.

Unter den Betroffenen finden sich von jungen Erwachsenen bis zu über 80-jährigen Pensionärinnen so ziemlich jede Altersklasse. Auch Personen in heiklen Positionen mit einem grossen Risiko auf Erpressbarkeit: Polizistinnen, Armee-Angehörige, Mitarbeitende von kantonalen und Bundesverwaltungen.

Stellungnahme von Swiss Casinos

Box aufklappen Box zuklappen

«Der Schutz der persönlichen Daten unserer Gäste hat für Swiss Casinos höchste Priorität. Umso bestürzter sind wir über den Vorfall bei unserem langjährigen Partner Radix, bei dem sensible Informationen von Personen, die eine Aufhebung ihrer Spielsperre beantragt hatten, unbefugt ins Darknet gelangten.

Swiss Casinos arbeitet seit vielen Jahren eng und vertrauensvoll mit der Stiftung Radix zusammen, insbesondere im Bereich des Spielerschutzes. Radix unterstützt uns dabei nicht nur bei der Beurteilung von Gesuchen zur Aufhebung von Spielsperren, sondern trägt auch mit ihrem Fachwissen zur Weiterentwicklung unseres Sozialkonzepts und zur Schulung unserer Mitarbeitenden bei. Diese Zusammenarbeit ist ein wichtiger Bestandteil unseres präventiven Engagements für verantwortungsvolles Spielen. Wir wurden von Radix zeitnah und mehrstufig über den Vorfall und die potenziell betroffenen Datensätze informiert. Bei der Benachrichtigung der potenziell betroffenen Personen haben wir unterstützend mitgewirkt. Betroffen sind ausschliesslich Daten von Personen, welche ab 2019 einen Antrag auf Aufhebung ihrer Spielsperre gestellt haben. Alle anderen Gäste sind vom Vorfall nicht betroffen.

Wir investieren laufend in den Schutz unserer Systeme und in die Sicherheit der Daten unserer Gäste. Auch in der Zusammenarbeit mit externen Partnern wie Radix prüfen wir regelmässig die Schnittstellen und Prozesse. Infolge des Vorfalls stehen wir in engem Austausch mit Radix und begleiten aktiv die Umsetzung zusätzlicher Sicherheitsmassnahmen.»

Und es sind noch weitere heikle Informationen im Darknet einzusehen. So betreibt das Zentrum für Spielsucht auch geleitete Gruppengespräche für Glücksspiel- und Computerspiel-Süchtige und deren Angehörige. Teilnehmerlisten und Gesprächsprotokolle aus diesen Gesprächen sind ebenfalls einsehbar, sowie eine Warteliste von Interessierten.

In den Protokollen werden neben Klarnamen auch intimste Details genannt, die einen Therapieraum eigentlich nie verlassen dürften. «Frau X. [von Red. anonymisiert] kann sich gut einbringen. Inzwischen von Partner getrennt, nachdem er sie bedroht hat. Polizei. Mit 10 monatigem Baby ins Frauenhaus geflüchtet.»

Hat Radix die Daten zu schlecht geschützt?

Wie konnte es überhaupt zu diesem Hack kommen? Im Gespräch mit mehreren Expertinnen und Experten aus dem Cybersecurity- und Datenschutzbereich zeigen sich mehrere Indizien, welche dafür sprechen, dass Radix zentrale Prinzipien des Datenschutzes nicht richtig eingehalten haben könnte.

  • Menge der abgeflossenen Daten: Könnte auf mangelhaftes Monitoring hinweisen.
  • Passwörter im Klartext in Word-Dokument gespeichert: Entspricht nicht gehobenen Sicherheitsstandards und weist auf einen laschen Umgang mit Datensicherheit hin.
  • Kein zusätzlicher Schutz von Gesundheitsdaten: Scheinbar keine zusätzliche Verschlüsselung innerhalb des Systems, trotz besonders schützenswerten Gesundheitsdaten.

Die Stiftung Radix schreibt dazu auf Anfrage, man habe insbesondere im letzten Jahr erhebliche Investitionen in die Cybersicherheit getätigt. Trotz dieser Massnahmen sei es der Hackergruppe gelungen, in ihre Systeme einzudringen und sensible Daten zu entwenden.

Offenbar hätten die Angreifer eine sogenannte «Zero-Day-Sicherheitslücke» genutzt, eine bis dahin unbekannte Sicherheitslücke. Dadurch soll es offenbar möglich gewesen, das «mehrstufige Sicherheitskonzept» zu durchbrechen. «Zero-Day-Lücken» werden in der Regel nur bei sehr vielversprechenden Angriffszielen eingesetzt, da sie von Hackergruppen oft sehr teuer eingekauft werden müssen.

Stellungnahme Radix

Radix kündigt an, man hätte nun die gesamte Infrastruktur neu aufgebaut, mit zusätzlichen Sicherheitsmassnahmen für besonders schützenswerten Daten. Sie hätten inzwischen alle ihre internen Prozesse zur Datenhaltung umfassend überprüft und angepasst. Sensible Daten würden neu systematisch getrennt, sicher archiviert, regelmässig überprüft und nach definierten Fristen gelöscht.

Die Stiftung schreibt ausserdem, man sei «zutiefst erschüttert» und «bedauere ausserordentlich», dass durch diesen Vorfall persönliche Daten in unbefugte Hände gelangt seien. Man werde alles daran setzen, daraus zu lernen, die Schutzmassnahmen weiter zu verbessern und das Vertrauen der betroffenen Personen und der Auftraggebenden zu stärken.

Hack erinnert an Vastaamo-Fall in Finnland

Box aufklappen Box zuklappen

Welche fatalen Folgen ein Datenbreach bei einer Gesundheitsorganisation haben kann, zeigte sich bei der finnischen Psychiatrie Vastaamo im Jahr 2020. Damals drohte ein Hacker, intime Therapieprotokolle und Diagnosen von 33'000 Finninnen und Finnen zu veröffentlichen, würde ihm nicht Lösegeld bezahlt.

Als die Firma nicht bezahlen wollte, schrieb der Hacker einzelne Patienten an, um sie einzeln zu erpressen. Nur um danach trotzdem sämtliche Daten zu veröffentlichen. Zahlreiche Betroffene erlitten gravierende Schäden, mindestens eine Person starb in der Folge durch Suizid. Die Klinik musste schliessen, der Hacker wurde zu sechs Jahren Haft verurteilt.

10 vor 10, 25.07.2025, 21:50 Uhr; noes

Meistgelesene Artikel

Menü

Suche

Hauptnavigation

Umfrage in Modal

(Wird in einem neuen Fenster geöffnet.)