Hacker haben laut einem Zeitungsbericht bei einem Inkassounternehmen Zehntausende vertrauliche Schuldnerdaten gestohlen. Dabei handele es sich um mehr als 33.000 Dateien des Inkassounternehmens Eos, berichtet die Süddeutsche Zeitung. Hacker hätten eine IT-Sicherheitslücke genutzt, um an die Daten zu kommen. Betroffen seien Zehntausende Menschen, die größtenteils in der Schweiz lebten. Ein Informant habe die Daten der Zeitung bereits im April überspielt. Die Daten reichten teilweise bis 2002 zurück.

In den Datensätzen im Umfang von drei Gigabyte sind demnach umfassende Informationen zu einzelnen Schuldnern zusammengetragen. Die Dokumente enthielten die Namen der Schuldner, der Gläubiger, deren Mailadressen und die Höhe der Forderungen, berichtet die Zeitung. Ein Ordner enthalte besonders sensible Daten mit Krankenakten, Reisepässen, Kreditkartenabrechnungen, Briefwechseln und privaten Telefonnummern. Diese Daten erlaubten detaillierte Rückschlüsse auf das Leben der Schuldner und hätten den Informanten schließlich veranlasst, die Dokumente an die Zeitung zu leaken.

Nach Angaben des Informanten hätten Hacker eine Schwachstelle in der IT des Unternehmens genutzt, um auf die Server zuzugreifen. Die Schwachstelle habe sich auf einem Grundgerüst der Website, Apache Struts, befunden. Es handele sich um die gleiche Schwachstelle, die Hacker im vergangenen September nutzten, um Daten der Wirtschaftsauskunftei Equifax von 143 Millionen US-Amerikanern zu stehlen.

Eos: Sicherheitslücke inzwischen geschlossen

Eos ordnete laut dem Bericht nach der Anfrage der Süddeutschen Zeitung eine "umfassende Revision der Prozesse" an. Eos wolle nun klären, weshalb sensible Daten von Schuldnern überhaupt erhoben und aufbewahrt wurden, sagte eine Firmensprecherin der Zeitung. Die Speicherung so umfangreicher Daten über Schuldner sei unzulässig, schreibt die Zeitung unter Berufung auf den Datenschutzbeauftragten der Schweiz, Adrian Lobsiger.

Eos bemerkte nach Angaben der Sprecherin im April Versuche, "ungewöhnlich viele Pakete" an externe Computer zu senden. Das Unternehmen habe jedoch "trotz intensivster Analysen nach wie vor nicht feststellen" können, "dass wir Opfer eines erfolgreichen Hackerangriffs geworden sein sollen". Die Firma gehe daher weiter von einem Verdacht aus.

Die Server seien nach den Unregelmäßigkeiten im Frühling jedoch komplett neu aufgesetzt und die Sicherheitslücke damit geschlossen worden. Eine erneute Analyse der Systeme soll nun nach Informationen der Süddeutschen Zeitung zeigen, ob die Hacker von außerhalb auf die Server zugriffen oder ob jemand mit Zugang zu den Daten – etwa ein Mitarbeiter – die Informationen herausgegeben hat. Die Eos-Gruppe gehört nach Angaben der Zeitung zu den größten Finanzdienstleistern Europas.