Zum Inhalt springen
Video
Aufgezeichnete Kundengespräche: Ungeschützt im Internet
Aus Kassensturz vom 31.05.2022.
abspielen. Laufzeit 11 Minuten 12 Sekunden.

Datenleck Aufgezeichnete Kundengespräche: Ungeschützt im Internet

Tausende aufgezeichnete Telefongespräche von Kundendiensten konnten von Dritten abgehört werden.

«Dieses Gespräch kann zu Schulungszwecken aufgezeichnet werden»: Wer den Kundendienst einer Firma anruft, hört nicht selten diese Mitteilung. Was viele nicht wissen: Oft sind es spezialisierte Firmen, die im Auftrag von Unternehmen die Telefongespräche aufzeichnen. So zum Beispiel die Schweizer Firma NTH mit Sitz in Bern. NTH zeichnet täglich tausende Telefongespräche von Kundinnen und Kunden aus dem In- und Ausland auf. Doch solche Aufnahmen seien bis vor kurzem via Browser verfügbar gewesen, sagt ein IT-Sicherheitsexperte, der anonym bleiben will. Er zeigt «Kassensturz» und «SRF Investigativ», wo er diese Daten entdeckte. Dabei musste er weder ein Passwort hacken noch irgendein Sicherheitssystem umgehen.

Video
Der IT-Experte vergleicht den einfach Zugang zu den Daten mit einem Loch in der Hauswand.
Aus Kassensturz vom 31.05.2022.
abspielen. Laufzeit 18 Sekunden.

«Klarer Verstoss gegen das Datenschutzgesetz»

Der IT-Sicherheitsexperte zeigt ein Protokoll mit Telefonnummern: Wer auf welche Nummer anrief, mit Datum, Zeitangabe und der jeweiligen Aufnahme. Beispiel: Eine Person, die bei einem Kreuzworträtsel einer Gratiszeitung mitmachte. Nebst Lösungswort spricht sie ihren Namen, Vornamen, die genaue Adresse und ihre Telefonnummer aufs Band. Ein weiteres Beispiel: Eine ältere Frau, die sich bei einem Kundendienst beschwert, weil sie teure SMS auf ihr Handy erhält. Auch sie sagt Name, Wohnort und Handynummer. Solche Personendaten seien zu tausenden verfügbar, erklärt der Informant.

«Kassensturz» ist an Ihrer Meinung interessiert

Box aufklappen Box zuklappen

Ungesicherte Daten im Internet, das sei «ein klarer Verstoss gegen das Datenschutzgesetz», sagt Ursula Sury, Professorin für Datenschutzrecht an der Hochschule Luzern. Wer Aufnahmen im Internet speichere, sei verpflichtet, alles zu tun, dass diese sicher seien.

Video
Ursula Sury, Professorin für Datenschutzrecht: «Auch innerhalb eines Unternehmens müssen Daten so geschützt sein, dass nur Berechtigte Zugriff haben.»
Aus Kassensturz vom 31.05.2022.
abspielen. Laufzeit 12 Sekunden.

 «Sicher heisst: Den Zugriff von aussen richtig schützen, aber es muss natürlich auch im Innern dieser Unternehmung so geschützt sein, dass nur die Berechtigten zugreifen können.»

Doch damit nicht genug. Darunter sind auch Aufnahmen von sehr persönlichen Beratungsgesprächen der spirituellen Lebensberatung von Shiva Spirit TV. Brisant: Bei diesen Gesprächen wird nicht angekündigt, dass das Gespräch aufgezeichnet wird. Das sei sogar strafbar, sagt Professorin für Datenschutzrecht Ursula Sury. NTH schreibt, es liege in der Verantwortung «der Dienstanbieter wie Shiva Spirit TV, Gesprächsteilnehmende über die Möglichkeit der Gesprächsaufnahme zu informieren». Shiva Spirit TV sagt, sie hätten gar keine Kenntnisse von solchen Aufnahmen.

Zitat der Firma NTH
Legende: SRF

Sicherheitslücke «seit mehreren Monaten»

Man nehme den Datenschutz und jede Gefährdung ihrer Daten sehr ernst, schreibt NTH dem «Kassensturz», sie hätten eine Fehleinstellung im System gehabt: «Dies ist ein Fehler, der so nicht hätte passieren dürfen. Wir haben den Fehler auch sofort, nachdem er uns zur Kenntnis gelangt ist, behoben und die gefundene Sicherheitslücke geschlossen.» Nachprüfungen hätten ergeben, dass die Aufnahmen «niemandem ausser den recherchierenden SRF-Journalisten und Ihrem ‹IT-Experten› zur Kenntnis gelangt» seien, schreibt NTH. Man habe eine Taskforce eingesetzt, damit «sich solche Vorfälle nicht wiederholen». Fakt ist: Die Sicherheitslücke habe seit mindestens mehreren Monaten bestanden, sagt der IT-Experte. Eine solch gravierende Schwachstelle dürfe nicht passieren, insbesondere nicht bei einer IT-Firma.

Video
Die Firma hat keine Sekunde investiert, um herauszufinden, ob die Speicherung sicher ist.
Aus Kassensturz vom 31.05.2022.
abspielen. Laufzeit 15 Sekunden.

Und weiter: «Die Firma hat hochsensible Daten und speichert diese auf einem Server ab, bei welchem NTH keine Sekunde investiert hat, um zu prüfen, ob dieser überhaupt sicher ist.»  Ein solcher Check sei eigentlich Routine und ein solches Leck leicht erkennbar.

Info an EDÖB

Box aufklappen Box zuklappen

«SRF Investigativ» und «Kassensturz» informierten auch den Eidgenössischen Datenschutzbeauftragten EDÖB über das Datenleck. Dieser hat eine Vorabklärung eröffnet und verlangt von NTH nähere Informationen, um über den weiteren Handlungsbedarf zu entscheiden.

Video
Studiogespräch mit Ursula Sury, Professorin für Datenschutzrecht an der Hochschule Luzern
Aus Kassensturz vom 31.05.2022.
abspielen. Laufzeit 6 Minuten 53 Sekunden.

Kassensturz, 31.05.22, 21:05 Uhr

Jederzeit top informiert!
Erhalten Sie alle News-Highlights direkt per Browser-Push und bleiben Sie immer auf dem Laufenden.
Schliessen

Jederzeit top informiert!

Erhalten Sie alle News-Highlights direkt per Browser-Push und bleiben Sie immer auf dem Laufenden. Mehr

Push-Benachrichtigungen sind kurze Hinweise auf Ihrem Bildschirm mit den wichtigsten Nachrichten - unabhängig davon, ob srf.ch gerade geöffnet ist oder nicht. Klicken Sie auf einen der Hinweise, so gelangen Sie zum entsprechenden Artikel. Sie können diese Mitteilungen jederzeit wieder deaktivieren. Weniger

Sie haben diesen Hinweis zur Aktivierung von Browser-Push-Mitteilungen bereits mehrfach ausgeblendet. Wollen Sie diesen Hinweis permanent ausblenden oder in einigen Wochen nochmals daran erinnert werden?

Meistgelesene Artikel