Im Juni erhielten ehemalige und aktuelle Angestellte der Kinokette Pathé unangenehme Post. Die Arbeitgeberin teilte ihnen mit, dass beim externen IT-Dienstleister teilweise heikle Personaldaten von Pathé-Mitarbeiterinnen und -Mitarbeitern gestohlen und zum Teil bereits im Darknet veröffentlicht worden seien.
Der Pathé-Hack: Das ist geschehen
Box aufklappenBox zuklappen
Am 10. Juni informierte Pathé Suisse ihre Mitarbeiterinnen und Mitarbeiter, dass ihr externer IT-Dienstleister von einem Cyberangriff betroffen sei. Am 13. Juni folgte eine weitere Information, dass dabei auch Personaldaten von Pathé gestohlen worden seien. Ein «Muster» davon sei im Darknet veröffentlicht worden.
Zu den persönlichen Daten, die Pathé speichert, gehören gemäss dem Schreiben von Pathé-CEO Venanzio Di Bacco unter anderem Personalien, Lebensläufe, Ausbildungs- und Arbeitszeugnisse, Informationen aus Arbeitsverträgen inklusive Lohn und Angaben zum Lohnkonto, AHV-Abrechnungen, Scans von Ausweisen und Bankkarten, Informationen über Krankheitsfälle und Unfälle, und zum Teil auch Betreibungs- und Strafregisterauszüge. «Wir müssen aktuell davon ausgehen, dass einzelne oder alle der oben erwähnten Dokumententypen veröffentlicht wurden resp. werden und somit alle Mitarbeiterinnen und Mitarbeiter unserer Pathé-Gesellschaften in der Schweiz potenziell betroffen wären», schreibt der Pathé-CEO weiter.
Im Brief werden den Angestellten diverse Tipps gegeben, wie sie sich schützen können. Beispielsweise sollen sie die Kontobewegungen im Auge behalten und gegebenenfalls die Bank-/Kreditkarte vorsorglich sperren lassen. Zudem werden sie vor Phishing-Attacken und anderen Betrugsversuchen gewarnt und aufgefordert, generell wachsam zu sein.
Auf den ersten Blick sei es ein Datenleck wie viele andere auch, sagt IT-Sicherheitsexperte Marc Ruef im SRF-Konsumentenmagazin «Espresso». Allerdings seien besonders schützenswerte Daten darunter, wie Informationen zu Krankheitsfällen und Unfällen, sowie Betreibungs- und Strafregisterauszüge: «Das sind natürlich Informationen, die nicht in fremde Hände gehören.»
Was ist Phishing
Box aufklappenBox zuklappen
Das Wort Phishing setzt sich aus den englischen Begriffen «Password», «Harvesting» (dt. Ernten) und «Fishing» zusammen. Wie der Name bereits andeutet, ist Phishing eine Technik, um an vertrauliche Daten von ahnungslosen Internet-Nutzerinnen und -Nutzerinnen zu gelangen. Dabei kann es sich zum Beispiel um die Zugangsdaten von E-Mail-, Post-, E-Banking- oder Online-Auktionsanbieter-Konten handeln. Phishing-Angriffe können von organisierten Banden, aber auch von Einzelpersonen ausgehen und finden über E-Mail, Webseiten, Internet-Telefonie (VoIP) oder SMS statt.
Betrüger verwenden die erschlichenen und gestohlenen Daten für verschiedene Vermögensdelikte: Sie tätigen im Namen der bestohlenen Person Banküberweisungen, kaufen online auf deren Kosten ein oder platzieren sogar gefälschte Angebote bei Online-Auktionsanbietern. Die erschlichenen E-Mail-Zugangsdaten ermöglichen den Betrügern zudem vollen Zugriff auf deren E-Mail-Konto. Auf diese Weise können Betrüger weitere betrügerische E-Mails an die Kontakte des Betroffenen senden, das Passwort ändern oder das Konto sperren.
Quelle: Schweizerische Kriminalprävention
Grosses Missbrauchspotenzial
Bei solch heiklen Daten gebe es ein grosses Missbrauchspotenzial. Kriminelle könnten damit beispielsweise Leute erpressen. «Ausserdem kann man Identitätsdiebstahl begehen.» Mit solch detaillierten Daten sei auch sehr spezifisches Phishing möglich, sagt Marc Ruef weiter: «Man kann sehr konkrete Phishing-Mails schreiben, in denen sehr schwierig zu erkennen ist, ob diese legitim sind oder nicht.» Für die betroffenen Angestellten sei dies eine extrem unangenehme Situation: «Die müssen nun ständig auf der Hut sein, dass sie nicht Opfer von Kriminellen werden.»
Datenschutzexpertin Ursula Uttinger nimmt Lebenslauf und Arbeitszeugnisse bei einer Bewerbung als Beispiel: «Die Frage ist, wie lange man diese aufbewahrt. Arbeitszeugnisse des früheren Arbeitgebers braucht es sicher nicht mehr, wenn man eine Person angestellt hat und die Probezeit vorüber ist.» Wenn man später noch darauf zurückgreifen müsse, habe die Firma bei der Einstellung einen Fehler gemacht.
Wenn Ursula Uttinger sieht, welche Daten die Kinokette von ihren Angestellten gesammelt hat, stellt sie die Frage nach der Verhältnismässigkeit:
«Bei gewissen Daten ist es selbstverständlich, dass das Unternehmen diese braucht. Es hat aber auch solche darunter, wie die Strafregisterauszüge, wo ich mich frage, bei wem das tatsächlich notwendig ist.»
Datenschutz = Datensparsamkeit und Verhältnismässigkeit
Ein zentraler Grundsatz beim Datenschutz sei die Datensparsamkeit, also dass eine Arbeitgeberin nur so viele Daten der Mitarbeitenden sammelt, wie sie für den Arbeitsvertrag und das Anstellungsverhältnis auch wirklich braucht. «So wenig wie möglich, so viel wie nötig. Das eine oder andere in dieser Sammlung könnte man reduzieren», meint die Expertin zur Datensammlung von Pathé.
Wer die Cybersicherheit vernachlässigt, erhält früher oder später die Quittung dafür.
Zu den Informationen und Tipps, die die Kinokette Pathé nach dem Datendiebstahl den Angestellten geschickt hat, sagt die Datenschutzexpertin: «Das ist schon fast vorbildlich.»
IT-Sicherheitsexperte Marc Ruef sieht das grundsätzlich ähnlich: «Aber gleichzeitig illustriert es natürlich, dass am Schluss die Mitarbeitenden diejenigen sind, die den grossen Schaden haben und sich damit über längere Zeit auseinandersetzen müssen.»
Für Ruef wird die IT-Sicherheit in vielen Schweizer Unternehmen immer noch stiefmütterlich behandelt. Man versuche dort auch Geld zu sparen. «Wer die Cybersicherheit vernachlässigt, erhält früher oder später die Quittung dafür.»
Das sagt die Pathé-Gruppe zu den Kritikpunkten der Fachleute
Box aufklappenBox zuklappen
Gegenüber «Espresso» wollte die Kinokette nur summarisch Stellung nehmen. Pathé schreibt:
«Wir speichern und bewahren persönliche Daten unserer Mitarbeiterinnen und Mitarbeiter im gesetzlichen Rahmen auf – zur Beurteilung der Eignung und zur Durchführung des Arbeitsverhältnisses, zur Bezahlung der Löhne, zur Abwicklung versicherungsrechtlicher Fragen oder zur Belegung von Abwesenheiten. Nach zehn Jahren seit Beendigung des Arbeitsverhältnisses endet in der Regel die Aufbewahrungspflicht und die persönlichen Daten werden gelöscht.
Mit dem an alle ehemaligen und aktuellen Mitarbeitenden gerichteten Brief wollten wir in Ausübung unserer Treuepflicht transparent informieren. Insbesondere ging es uns darum, dienliche Tipps zu geben, wie sie mögliche Schäden vermeiden können, sollten tatsächlich Daten von ihnen betroffen sein. Selbstverständlich werden wir diesen Vorfall vertieft analysieren und, wo angezeigt, Prozesse anpassen.
Wie Sie sicher verstehen, geben wir zu unseren Sicherheitsdispositiven grundsätzlich keine Auskünfte.»
Die maximale Anzahl an Codes für die angegebene Nummer ist erreicht. Es können keine weiteren Codes erstellt werden.
Mobilnummer ändern
An diese Nummer senden wir Ihnen einen Aktivierungscode.
Diese Mobilnummer wird bereits verwendet
E-Mail bestätigen
Wir haben Ihnen ein E-Mail an die Adresse {* emailAddressData *} gesendet. Prüfen Sie bitte Ihr E-Mail-Postfach und bestätigen Sie Ihren Account über den erhaltenen Aktivierungslink.
Keine Nachricht erhalten?
Wenn Sie nach 10 Minuten kein E-Mail erhalten haben, prüfen Sie bitte Ihren SPAM-Ordner und die Angabe Ihrer E-Mail-Adresse.
Wir haben Ihnen ein E-Mail an die Adresse {* emailAddressData *} gesendet. Prüfen Sie bitte Ihr E-Mail-Postfach und bestätigen Sie Ihren Account über den erhaltenen Aktivierungslink.
Keine Nachricht erhalten?
Wenn Sie nach 10 Minuten kein E-Mail erhalten haben, prüfen Sie bitte Ihren SPAM-Ordner und die Angabe Ihrer E-Mail-Adresse.
Sie können sich nun im Artikel mit Ihrem neuen Passwort anmelden.
Ein neues Passwort erstellen
Wir haben den Code zum Passwort neusetzen nicht erkannt. Bitte geben Sie Ihre E-Mail-Adresse erneut ein, damit wir Ihnen einen neuen Link zuschicken können.
Ihr Account wurde deaktiviert und kann nicht weiter verwendet werden.
Wenn Sie sich erneut für die Kommentarfunktion registrieren möchten, melden Sie sich bitte beim Kundendienst von SRF.