Irischer ISP setzt die persönlichen Daten seiner Kunden aufs Spiel

EDRi-gram-Unterseite
Nein


Dieser Artikel ist auch verfügbar auf:
Englisch: Irish ISP puts its customers' personal data at risk

Personenbezogene Daten von mehr als 6.800 aktuellen und ehemaligen Handy-Kunden von Eircom, dem größten irischen Internet Service Provider, stehen auf dem Spiel, nachdem drei unverschlüsselte Laptops des Unternehmens gestohlen worden sind – zwei Geräte zwischen dem 28. Dezember 2011 und dem 2. Jänner 2012 aus den Büros in Parkwest Dublin und eines am 29. Dezember 2011 aus der Wohnung eines Angestellten.

Eircom erklärte, bei den meisten der betroffenen Daten handle es sich um personenbezogene Angaben wie Name, Adresse und Telefonnummer, in manchen Fällen aber auch um Reisepass- und Führerscheinnummern oder Rechnungsdaten von Energieversorgern. Bei ungefähr 550 Kunden enthielten die auf den gestohlenen Laptops gespeicherten Datensätze auch noch Finanzdaten, wie Kontonummern, Buchungen und Kreditkarteninformationen.

Der Datenschutzbeauftragte Billy Hawkes betrachtet diesen Fall als besonders ernst und sagte, Eircom habe seine Kunden der Gefahr eines Identitätsdiebstahls ausgesetzt. Er kritisierte außerdem, dass die Kunden erst sehr spät über den Diebstahl informiert wurden und sich deshalb nicht rechtzeitig hatten schützen können.

"Wir erhalten solche Benachrichtigung üblicherweise mit einer Verzögerung von 24 bis 48 Stunden, wie es unseren Richtlinien für solche Vorkommnisse entspricht. Die von Eircom vorgelegte Begründung finde ich daher sehr erstaunlich," so Hawkes in einer Reaktion auf die Stellungnahme von Eircom, die verspätete Benachrichtigung habe sich ergeben, weil man versucht habe herauszufinden, welche Daten entwendet worden seien.

Darüber hinaus sei zu erwarten gewesen, so Hawkes weiter, dass die Eircom als Telekom-Unternehmen höhere Schutzstandards einhält, weshalb es "sehr verwunderlich ist, dass Eircom-Laptops in zwei unterschiedlichen Fällen nicht verschlüsselt waren". Hawkes zieht den Schluss, dass "Telekommunikationsunternehmen über eine enorme Anzahl von Daten über uns alle verfügen und daher strengeren Anforderungen unterliegen sollten".

Eircom erklärte, man habe die Vorfälle umgehend der Polizei gemeldet, zwei getrennte Untersuchungen in Gang gesetzt und es gäbe keine Hinweise darauf, dass Dritte die Daten missbraucht hätten. "Eircom nimmt den Schutz der Privatsphäre und den Schutz personenbezogener Daten sehr ernst und hat die folgenden proaktiven Maßnahmen zur Verbesserung der Sachlage gesetzt. Zur Vorbeugung haben wir die Irische Bankenvereinigung kontaktiert. Diese hat ihre Mitglieder über die möglichen Risiken für betroffene eMobile- und Meteor-Kunden in Kenntnis gesetzt."

Das Unternehmen erklärte weiters, man werde jene Kunden, deren Finanzdaten möglicherweise betroffen sind, telefonisch kontaktieren, und allen betroffenen Kunden eine schriftliche Benachrichtigung über den Datendiebstahl zukommen lassen.

Der Umstand, dass alle gestohlenen Laptops unverschlüsselt waren, wird als unentschuldbar angesehen. Laut Datenschutzberater Daragh O'Brien lässt die verspätete Benachrichtigung der Datenschutzbehörde auf mangelnde Vorsorge- und Erkennungsmaßnahmen bei Eircom schließen. Sicherheitsexperte Brian Honan erklärte außerdem, dass Unternehmen gemäß mehrerer Gesetze dazu verpflichtet seien, für die ausreichende Sicherheit von Daten, wie etwa Kreditkarteninformationen, zu sorgen.

Laut Eircom findet nun eine Überprüfung der Verschlüsselungspraktiken statt, "um sicherzustellen, dass alle Computer und Laptops in Einklang mit der Sicherheitspolitik des Unternehmens betrieben werden".

* Eircom customer data breached (10.02.2012)
* Press Release – eircom Group Statement on Laptop Theft
* Eircom slammed for laptop and data loss (13.02.2012)