Zum Inhalt springen

Header

Audio
Cybersicherheit sollte in Unternehmen eine grosse Bedeutung haben
Aus Espresso vom 19.07.2023. Bild: Imago Images / Jochen Tack
abspielen. Laufzeit 5 Minuten 55 Sekunden.
  1. Kassensturz Espresso
  2. Espresso
  3. Aktueller Artikel
Inhalt

Sicherheitsrisiko Firmen sollten nur die nötigsten Personaldaten speichern

Cyberkriminelle haben der grossen Kinokette Pathé sensible Daten von Angestellten gestohlen. Fachleute ordnen ein.

Teilen

Im Juni erhielten ehemalige und aktuelle Angestellte der Kinokette Pathé unangenehme Post. Die Arbeitgeberin teilte ihnen mit, dass beim externen IT-Dienstleister teilweise heikle Personaldaten von Pathé-Mitarbeiterinnen und -Mitarbeitern gestohlen und zum Teil bereits im Darknet veröffentlicht worden seien.

Der Pathé-Hack: Das ist geschehen

Box aufklappen Box zuklappen

Am 10. Juni informierte Pathé Suisse ihre Mitarbeiterinnen und Mitarbeiter, dass ihr externer IT-Dienstleister von einem Cyberangriff betroffen sei. Am 13. Juni folgte eine weitere Information, dass dabei auch Personaldaten von Pathé gestohlen worden seien. Ein «Muster» davon sei im Darknet veröffentlicht worden.

Zu den persönlichen Daten, die Pathé speichert, gehören gemäss dem Schreiben von Pathé-CEO Venanzio Di Bacco unter anderem Personalien, Lebensläufe, Ausbildungs- und Arbeitszeugnisse, Informationen aus Arbeitsverträgen inklusive Lohn und Angaben zum Lohnkonto, AHV-Abrechnungen, Scans von Ausweisen und Bankkarten, Informationen über Krankheitsfälle und Unfälle, und zum Teil auch Betreibungs- und Strafregisterauszüge. «Wir müssen aktuell davon ausgehen, dass einzelne oder alle der oben erwähnten Dokumententypen veröffentlicht wurden resp. werden und somit alle Mitarbeiterinnen und Mitarbeiter unserer Pathé-Gesellschaften in der Schweiz potenziell betroffen wären», schreibt der Pathé-CEO weiter.

Im Brief werden den Angestellten diverse Tipps gegeben, wie sie sich schützen können.  Beispielsweise sollen sie die Kontobewegungen im Auge behalten und gegebenenfalls die Bank-/Kreditkarte vorsorglich sperren lassen. Zudem werden sie vor Phishing-Attacken und anderen Betrugsversuchen gewarnt und aufgefordert, generell wachsam zu sein.

Auf den ersten Blick sei es ein Datenleck wie viele andere auch, sagt IT-Sicherheitsexperte Marc Ruef im SRF-Konsumentenmagazin «Espresso». Allerdings seien besonders schützenswerte Daten darunter, wie Informationen zu Krankheitsfällen und Unfällen, sowie Betreibungs- und Strafregisterauszüge: «Das sind natürlich Informationen, die nicht in fremde Hände gehören.»

Was ist Phishing

Box aufklappen Box zuklappen

Das Wort Phishing setzt sich aus den englischen Begriffen «Password», «Harvesting» (dt. Ernten) und «Fishing» zusammen. Wie der Name bereits andeutet, ist Phishing eine Technik, um an vertrauliche Daten von ahnungslosen Internet-Nutzerinnen und -Nutzerinnen zu gelangen. Dabei kann es sich zum Beispiel um die Zugangsdaten von E-Mail-, Post-, E-Banking- oder Online-Auktionsanbieter-Konten handeln. Phishing-Angriffe können von organisierten Banden, aber auch von Einzelpersonen ausgehen und finden über E-Mail, Webseiten, Internet-Telefonie (VoIP) oder SMS statt.

Betrüger verwenden die erschlichenen und gestohlenen Daten für verschiedene Vermögensdelikte: Sie tätigen im Namen der bestohlenen Person Banküberweisungen, kaufen online auf deren Kosten ein oder platzieren sogar gefälschte Angebote bei Online-Auktionsanbietern. Die erschlichenen E-Mail-Zugangsdaten ermöglichen den Betrügern zudem vollen Zugriff auf deren E-Mail-Konto. Auf diese Weise können Betrüger weitere betrügerische E-Mails an die Kontakte des Betroffenen senden, das Passwort ändern oder das Konto sperren.

Quelle: Schweizerische Kriminalprävention

Grosses Missbrauchspotenzial

Bei solch heiklen Daten gebe es ein grosses Missbrauchspotenzial. Kriminelle könnten damit beispielsweise Leute erpressen. «Ausserdem kann man Identitätsdiebstahl begehen.» Mit solch detaillierten Daten sei auch sehr spezifisches Phishing möglich, sagt Marc Ruef weiter: «Man kann sehr konkrete Phishing-Mails schreiben, in denen sehr schwierig zu erkennen ist, ob diese legitim sind oder nicht.» Für die betroffenen Angestellten sei dies eine extrem unangenehme Situation: «Die müssen nun ständig auf der Hut sein, dass sie nicht Opfer von Kriminellen werden.»

Datenschutzexpertin Ursula Uttinger nimmt Lebenslauf und Arbeitszeugnisse bei einer Bewerbung als Beispiel: «Die Frage ist, wie lange man diese aufbewahrt. Arbeitszeugnisse des früheren Arbeitgebers braucht es sicher nicht mehr, wenn man eine Person angestellt hat und die Probezeit vorüber ist.» Wenn man später noch darauf zurückgreifen müsse, habe die Firma bei der Einstellung einen Fehler gemacht.

«Espresso» ist an Ihrer Meinung interessiert

Box aufklappen Box zuklappen

Berichten Sie uns über Ihre Erfahrungen und schreiben Sie uns Ihre Meinung!

Wenn Ursula Uttinger sieht, welche Daten die Kinokette von ihren Angestellten gesammelt hat, stellt sie die Frage nach der Verhältnismässigkeit:

«Bei gewissen Daten ist es selbstverständlich, dass das Unternehmen diese braucht. Es hat aber auch solche darunter, wie die Strafregisterauszüge, wo ich mich frage, bei wem das tatsächlich notwendig ist.»

Datenschutz = Datensparsamkeit und Verhältnismässigkeit

Ein zentraler Grundsatz beim Datenschutz sei die Datensparsamkeit, also dass eine Arbeitgeberin nur so viele Daten der Mitarbeitenden sammelt, wie sie für den Arbeitsvertrag und das Anstellungsverhältnis auch wirklich braucht. «So wenig wie möglich, so viel wie nötig. Das eine oder andere in dieser Sammlung könnte man reduzieren», meint die Expertin zur Datensammlung von Pathé.

Wer die Cybersicherheit vernachlässigt, erhält früher oder später die Quittung dafür.
Autor: Marc Ruef IT-Sicherheitsexperte

Zu den Informationen und Tipps, die die Kinokette Pathé nach dem Datendiebstahl den Angestellten geschickt hat, sagt die Datenschutzexpertin: «Das ist schon fast vorbildlich.»

IT-Sicherheitsexperte Marc Ruef sieht das grundsätzlich ähnlich: «Aber gleichzeitig illustriert es natürlich, dass am Schluss die Mitarbeitenden diejenigen sind, die den grossen Schaden haben und sich damit über längere Zeit auseinandersetzen müssen.»

Für Ruef wird die IT-Sicherheit in vielen Schweizer Unternehmen immer noch stiefmütterlich behandelt. Man versuche dort auch Geld zu sparen. «Wer die Cybersicherheit vernachlässigt, erhält früher oder später die Quittung dafür.»

Das sagt die Pathé-Gruppe zu den Kritikpunkten der Fachleute

Box aufklappen Box zuklappen

Gegenüber «Espresso» wollte die Kinokette nur summarisch Stellung nehmen. Pathé schreibt:

«Wir speichern und bewahren persönliche Daten unserer Mitarbeiterinnen und Mitarbeiter im gesetzlichen Rahmen auf – zur Beurteilung der Eignung und zur Durchführung des Arbeitsverhältnisses, zur Bezahlung der Löhne, zur Abwicklung versicherungsrechtlicher Fragen oder zur Belegung von Abwesenheiten. Nach zehn Jahren seit Beendigung des Arbeitsverhältnisses endet in der Regel die Aufbewahrungspflicht und die persönlichen Daten werden gelöscht.

Mit dem an alle ehemaligen und aktuellen Mitarbeitenden gerichteten Brief wollten wir in Ausübung unserer Treuepflicht transparent informieren. Insbesondere ging es uns darum, dienliche Tipps zu geben, wie sie mögliche Schäden vermeiden können, sollten tatsächlich Daten von ihnen betroffen sein. Selbstverständlich werden wir diesen Vorfall vertieft analysieren und, wo angezeigt, Prozesse anpassen.

Wie Sie sicher verstehen, geben wir zu unseren Sicherheitsdispositiven grundsätzlich keine Auskünfte.»

 

Espresso, 19.07.23, 08:10 Uhr;

Mehr zum Thema

Teilen
  1. Kassensturz Espresso
  2. Espresso
  3. Aktueller Artikel

Meistgelesene Artikel

Inhalt vom Modal
Menü

Suche

Hauptnavigation

Rubriken

TV/Radio

Weitere Angebote

Umfrage in Modal

(Wird in einem neuen Fenster geöffnet.)