Inkasso-Unternehmen verliert Daten von Zehntausenden Schuldnern

Bei einem Inkassounternehmen der Otto-Gruppe sind Tausende Daten über Schuldner verloren gegangen. Hacker haben offenbar über einen längeren Zeitraum hinweg auf die Server der Schweizer Tochter der Eos-Gruppe zugreifen können. Die Gruppe zählt zu den größten Schuldeneintreibern in Europa. Laut einem Bericht der Süddeutschen Zeitung sollen aber nicht nur notwendige Informationen sondern auch andere sensible Daten wie Krankenakten oder Kreditkartenabrechnungen abgeflossen sein.

Die Süddeutsche beruft sich auf einen Informanten. Der berichtet von einem Hacker, der über ein Sicherheitsleck im Web-Server auf diese Informationen zugegriffen haben soll. Die Hacker sollen über ein Sicherheitsleck in Apache Struts auf die Systeme zugegriffen haben.

Dem Blatt liegen offenbar 33.000 Datensätze über mehrere Zehntausend Schuldnern im Umfang von etwa drei Gigabyte vor. Die ältesten Dokumente reichen bis in das Jahr 2002 zurück. Neben dem Namen und die Höhe der Forderung sind auch die Adressen der vornehmlich Schweizerischen Schuldner verzeichnet.

Doch die Datensätze umfassen teilweise auch Informationen, die detaillierte Rückschlüsse auf das Leben eines Schuldners zulassen. So seien von Ärzten etwa vollständige Krankenakten mit Behandlungsdetails und Vorerkrankungen an den Geldeintreiber übermittelt worden. Auch Briefe, Scans von Reisepässe oder die Abrechnungen von Kreditkarten befinden sich im Besitzt des Inkassounternehmens.

Für das Eintreiben von Schulden, sollten eigentlich Name, Anschrift und der Rechnungsbetrag ausreichen. Wer einem Inkassounternehmen Informationen übermittelt, die darüber hinaus gehen, macht sich strafbar. Wer als Arzt Patientendaten weiterleitet, verstößt gegen die ärztliche Schweigepflicht. Sobald der Schuldner die ausstehenden Beträge begleicht, sind die Daten auch sofort zu löschen.

Die Eos-Gruppe ist Teil des Versandhändlers Otto und hat 2016 mehr als 660 Millionen Euro umgesetzt. Das Unternehmen ist in 26 Ländern aktiv und ist damit laut eigenen Angaben einer der größten Anbieter in Europa.

Unklar ist, weshalb das Unternehmen die Informationen überhaupt gespeichert habe. Auf Anfrage der Süddeutschen Zeitung teilte ein Unternehmenssprecher mit, dass eine interne Revision den Vorfall aufklären soll. Anfang April sollen Versuche registriert worden sein, bei denen Daten an fremde Rechner hätten gesendet werden sollen. Das Unternehmen könne jedoch bislang nicht feststellen, dass es einen erfolgreichen Hackerangriff auf die Systeme gegeben habe. Nun soll ein externer Dienstleister den Vorfall aufklären. Inzwischen seien auch die entsprechenden Systeme neu aufgesetzt worden.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.