Intrum gilt als die grösste Inkassofirma der Schweiz. Ihr Geschäft ist es, Schulden einzutreiben. Die Daten, die sich bei Intrum sammeln, sind entsprechend sensibel. Wegen einer Sicherheitslücke konnte sich nun aber jede und jeder durch private Schuldenverzeichnisse klicken. Zu sehen waren nicht nur die Namen der Schuldner, sondern sämtliche Betreibungen, Rechnungen oder Kontodaten. Denn betroffen vom Leck war ausgerechnet das Kundenportal, auf dem betriebene Personen ihre offenen Forderungen sehen und begleichen können. 

Wie viele Profile einsehbar waren, gibt Intrum nicht preis. Der Beobachter geht aufgrund seiner Recherche aber von etlichen Betroffenen aus, möglicherweise Zehntausenden. Die Sicherheitslücke bestand bis zum 28. August und wurde, als der Beobachter Intrum darauf aufmerksam machte, geschlossen. Wie lange das Verzeichnis offen war, ist laut Intrum noch nicht klar.

Log-in ohne Passwort

Üblicherweise können Schuldner auf ihre Profile bei Intrum nur zugreifen, wenn sie ihr Passwort und ihren Nutzernamen in Form eines verschlüsselten Zahlencodes eingeben. Während des Sicherheitslecks reichte es jedoch, beim Benutzernamen eine beliebige Nummer einzutippen. Das Feld des Passworts konnte man frei lassen und auf «Anmelden» klicken. War die Nummer einem Schuldner zugeordnet, konnte man das persönliche Profil der Person anschauen. 

Der Beobachter hat es mit mehreren siebenstelligen Nummern ausprobiert und erhielt innert kürzester Zeit Einblick in die hochsensiblen Daten von mehreren Personen. Glück brauchte es dafür nicht. Und viel Geduld ebenfalls nicht.

Auf den Profilen präsentierte sich zuoberst auf der Seite die Höhe aller Schulden. Weiter unten waren sämtliche Betreibungen im Detail aufgelistet. So konnte man auch die Rechnungen und Kontodaten der Gläubiger anschauen. Doch damit nicht genug: Selbst Name, Adresse und Handynummer der Betriebenen lagen offen. Mit einem Klick liessen sich diese privaten Daten sogar ändern. Man konnte einer betroffenen Person beispielsweise ganz einfach eine neue E-Mail-Adresse einrichten.

Schuld war ein Software-Update

Kurz nachdem der Beobachter Intrum auf die Datenlücke hingewiesen hatte, schloss die Firma das Kundenportal. Das passierte am 28. August. Jaël Fuchs, Kommunikationsverantwortliche von Intrum, schreibt: «Die Sicherheitslücke war bis zu diesem Zeitpunkt nicht bekannt.» 

Das Problem, so erklärt Intrum auf Anfrage, sei auf die Einführung einer neuen Codeversion zurückzuführen. Ein Software-Update wurde auf das System gespielt und verursachte die Sicherheitslücke. Wie Intrum schreibt, könne eine böswillige Verursachung von Dritten ausgeschlossen werden.

Die Plattform wurde in der Nacht auf den 29. August über mehrere Stunden vom Netz genommen, um das Problem zu beheben. Mittlerweile ist das Kundenportal wieder online, und das Problem scheint gelöst: Man muss wieder ein Passwort eingeben, um auf die Schuldnerprofile zuzugreifen.

Die strafrechtlichen Folgen

Welche Konsequenzen dieses gravierende Datenleck für Intrum haben wird, ist noch nicht klar. Eine Woche nach Bekanntgabe des Datenlecks hat der eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) Meldungen von Bürgerinnen und Bürgern zum Vorfall erhalten. Das teilt er auf Anfrage mit. Er schreibt: «Wer im Besitz von Daten von privaten Personen ist, ist dafür verantwortlich, diese mit der nötigen Sorgfalt zu bearbeiten.» Und er muss für die Sicherheit der Daten sorgen und sie vor unberechtigten Zugriffen und Verlust schützen.

Gemäss neuem Datenschutzgesetz muss der EDÖB  eine Untersuchung eröffnen, wenn ein bedeutender Verstoss gegen das Datenschutzgesetz vorliegt. Ob er eine Untersuchung im Fall von Intrum einleiten wird, sei noch nicht klar.

Wer glaubt, vom Datenleck betroffen zu sein, kann sich über diese Website beim EDÖB melden.



Aktualisiert am 7. 9. 2023 um 10.43 Uhr.