Der Schweizer Telekommunikationskonzern Swisscom musste an der Pressekonferenz am 07. Februar 2018 zugeben, dass im Herbst zuvor rund 800’000 Personendaten entwendet wurden. Die betroffenen Datensätze umfassen Name, Adresse, Telefonnummer und Geburtsdatum. Im Rahmen der umstrittenen Krisenkommunikation wurde mehrfach betont, dass durch die Swisscom noch kein Missbrauch der Daten festgestellt werden konnte.

Wir wurden von verschiedenen Quellen darauf aufmerksam gemacht, dass ein vermeintliches Email der Eidgenössischen Steuerverwaltung (ESTV) im Umlauf ist, das mit einem Anhang daherkommt. Besonders auffällig ist, dass die Anrede personalisiert ist und in der Betreffzeile die Swisscom-Handynummer der Zielperson enthalten ist. Diese Korrelation deutet darauf hin, dass hiermit potentiell der Missbrauch aus dem Datenleck eingeläutet wird. Aus Vor- und Nachname können mit wenig Aufwand Mailadressen generiert und auf gut Glück an potentielle Opfer geschickt werden (z.B. vorname.nachname@gmail.com oder vorname_nachname@gmx.ch). Nach Rücksprache mit dem Swisscom CSIRT scheinen jedoch nur ein geringer Teil der bisher geprüften Phishing-Samples aus dem Diebstahl stammen zu können.

Ein solches Phishing ist nur eine der wenigen Möglichkeiten, wie Daten missbraucht und schlussendlich zu Geld gemacht werden können. Im Darknet finden sich verschiedene Märkte, in denen mit gestohlenen Daten gehandelt werden. Diese werden dann zum Beispiel für Identitätsdiebstahl gebraucht, um Kreditbetrug oder Geldwäsche zu begehen.

Wir empfehlen solche Emails nicht zu öffnen. Besonders vom Herunterladen und Öffnen der Anhänge ist abzusehen. Auf die Nachricht sollte nicht reagiert werden. Stattdessen sollte in Unternehmen die für IT-Security zuständige Stelle über die Emails informiert werden.

Betroffene Persönen können ein SMS mit dem Text info an die Handynummer 444 schicken. Swisscom informiert dann darüber, ob die eigenen Daten ebenfalls gestohlen wurden. Diese Information ist aber nicht immer akkurat. Bei Zweifeln sollte man sich direkt mit Swisscom in Verbindung setzen, um Details sowie das weitere Vorgehen zu erfragen.

Über den Autor

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Fakultäten, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)

Links

• https://twitter.com/swisscom_csirt
• https://www.srf.ch/news/wirtschaft/massnahmen-eingeleitet-datendiebstahl-bei-swisscom
• https://www.swisscom.ch/de/about/rechtliches/datenschutz/kundenangaben.html
• https://www.tagesanzeiger.ch/13645548