Der schweizerische Zweig der Eos-Inkassogruppe hat große Mengen sensibler Daten von Schuldnern in unbefugte Hände fallen lassen. Namen, Adressen, die Höhe von Schuldensbeträgen und sogar Krankenakten waren durch das Datenleck zugänglich.

Die Vernetzung von Unternehmen beim Forderungsmanagement macht es möglich, dass auftretende Sicherheitslücken sich gleich massenhaft auswirken. Das ist beim schweizerischen Zweig der Eos-Gruppe geschehen, die zum Otto-Handelskonzern gehört und nach eigenen Angaben einen der größten Finanzdienstleister Europas bildet.

Infolge eines schwerwiegenden Datenlecks bei Eos sind sensible Schuldnerdaten in einem Umfang von rund drei GByte in unbefugte Hände gelangt. Das berichtet die Süddeutsche Zeitung (sz) heute in ihrer Online-Ausgabe. Wie es heißt, wurden der Redaktion die betreffenden Daten bereits Anfang April dieses Jahres von einem Informanten zugespielt. Es geht danach um mehr als 33.000 Dateien mit zum Teil extrem sensiblen Daten von Schuldnern, aber auch Gläubigern. Die Angaben in den Datensätzen betreffen Zeiträume bis zurück zum Jahr 2002.

Zu den offengelegten Daten gehören Namen, Meldeadressen und Angaben zur Höhe der geltend zu machenden Forderungen. Die meisten der betroffenen Personen sind in der Schweiz ansässig.

Brisant und gesetzwidrig

Als besonders brisant beschreibt die "sz" einen Ordner namens "Uploads", der zu dem Datenpaket gehört und offenbar Auskünfte von Auftraggebern an das Inkassounternehmen enthält. Ärzte sollen dort ganze Krankenakten von Betroffenen hochgeladen haben, die unter anderem Angaben über Vorerkrankungen und Behandlungsdetails aufweisen. Zudem seien eingescannte Ausweise und Reisepässe, umfangreiche Kreditkartenabrechnungen, briefliche Korrespondenz sowie private Telefonnummern zu finden gewesen. All das, so die "sz", habe sehr weitgehende Rückschlüsse auf das Leben der Schuldner zugelassen. Insbesondere diese sensiblen Daten hätten den Hinweisgeber dazu motiviert, sich an die "sz" zu wenden.

Dienstleister wie Eos leben davon, im Auftrag von Gläubigern Schulden einzutreiben. Unternehmen, Behörden, Ärzte und andere Rechnungssteller beauftragen den Inkassodienstleister damit, Mahnungen zu verschicken und gegebenenfalls Zwangsvollstreckungen in Gang zu setzen. Dieser nimmt unbezahltre Rechnungen entgegen und setzt sich dann direkt mit dem Schuldner in Verbindung. Die Eos-Gruppe umfasst 55 Einzelunternehmen in insgesamt 26 Ländern. Ihr Umsatz hat im vergangenen Jahr eine Höhe von über 600 Mio. Euro erreicht.

Wie sich nun herausgestellt hat, umfassen die von Eos gespeicherten Daten weitaus mehr als nur das, was zum Forderungsmanagement normalerweise notwendig ist. Auch nach schweizerischem Recht ist das unerlaubte Übermitteln solcher sensiblen Daten strafbar.

Der Hauptsitz der Eos-Gruppe befindet sich in Hamburg, allerdings sind von dem Datenleck offenbar ausschließlich Kunden des schweizerischen Zweigs betroffen. In Deutschland sind Unternehmen verpflichtet, etwa von Ärzten unerlaubt übermittelte intime Patienteninformationen sofort zu vernichten. Aber auch in der Schweiz verlangt das Gesetz, alle nicht mehr benötigten Informationen über Schuldner umgehend zu löschen respektive zu sperren.

Hackerangriff auf Webserver

Die "sz" berichtet, dass die Redaktion Eos auf die offengelegten Daten aufmerksam gemacht habe. Das Unternehmen habe daraufhin eine "umfassende Revision der Prozesse" zugesagt. Zudem habe Eos nun die Schweizer Behörden und die Kunden des Hauses informiert.

Offenbar hat ein gezielter Hackerangriff Anfang April das Datenleck ausgelöst. Die Angreifer haben dabei eine Sicherheitslücke im Webserver-Framework Apache Struts ausgenutzt. Es handelt sich um dieselbe Schwachstelle, die auch den Hackern beim Equifax-Datendiebstahl im September 2017 als Einfallstor diente.

Nach Angaben von Eos sind im Frühjahr Anzeichen für Hackeraktivitäten bemerkt worden, ohne dass ein Angriff hätte verifiziert werden können. Daraufhin soll der betroffene Server komplett neu aufgesetzt worden sein. Nach den nunmehr seitens der "sz" erfolgten Hinweisen soll eine erneute Systemanalyse erfolgen. Eos zufolge ist es noch nicht klar, ob das Datenleck tatsächlich auf einem Angriff von außen beruht oder ob jemand mit Zugriffsberechtigung Unbefugten das Auslesen ermöglicht hat.

(psz)