Von Simon Hurtz, Kristiana Ludwig und Hakan Tanriverdi

Durch ein schwerwiegendes Datenleck beim Inkassounternehmen Eos sind Zehntausende sensible Schuldnerdaten in die Hände Dritter gelangt. Ein Informant hat der Süddeutschen Zeitung Anfang April mehr als 33 000 Dateien zugespielt, insgesamt drei Gigabyte. Es handelt sich um Daten der Schweizer Tochter der Eos-Gruppe, einem der größten Inkassounternehmen Europas.

Die Dokumente enthalten Namen der Gläubiger und Schuldner, ihre Meldeadressen und die Höhe der ausstehenden Forderungen. Betroffen sind Zehntausende Menschen, die größtenteils in der Schweiz leben. Die Dokumente reichen teilweise bis ins Jahr 2002 zurück.

Besonders brisant ist der Inhalt eines Ordners mit dem Namen "Uploads". Die enthaltenen Unterlagen veranlassten den Informanten, die Dokumente an die SZ weiterzugeben. Ärzte schickten Eos ganze Krankenakten, mitsamt aller Vorerkrankungen der Patienten und den Details ihrer Behandlungen. Das Inkassounternehmen speicherte eingescannte Ausweise und Reisepässe, seitenlange Kreditkartenabrechnungen, Briefwechsel und private Telefonnummern. Aus diesen Daten lassen sich detaillierte Rückschlüsse auf das Leben der Schuldner ziehen.

Als Inkasso-Dienstleister hat sich Eos darauf spezialisiert, Schulden einzutreiben. Die Eos-Gruppe gehört zum Versandhandelskonzern Otto und hat im vergangenen Jahr mehr als 660 Millionen Euro umgesetzt. Das Geschäftsmodell: Firmen, Behörden oder Ärzte beauftragen Eos, gegen eine Gebühr Mahnungen oder Zwangsvollstreckungen zu verschicken. Eos nimmt unbezahlte Rechnungen entgegen und wendet sich dann direkt an die Schuldner. Mit 55 Unternehmen in 26 Ländern zählt die Eos-Gruppe nach eigenen Angaben zu den größten Finanzdienstleistern Europas.

Um Schulden einzutreiben, reichen nach Expertenmeinung Name und Anschrift des Schuldners und der offene Rechnungsbetrag. Teilweise enthalten die Dokumente aber Informationen, die weit darüber hinausgehen. Wer Inkassounternehmen sensible Dokumente wie Krankenakten zur Verfügung stelle, begehe nicht nur eine Dummheit, sondern eine Straftat, sagt der Datenschutzbeauftragte der Schweiz, Adrian Lobsiger. Ein solches Vorgehen sei "unverhältnismäßig und somit nicht zulässig".

Grundsätzlich sind Unternehmen gesetzlich verpflichtet, alle Informationen über Schuldner zu löschen oder zu sperren, die nicht mehr benötigt werden. Das gilt in Deutschland wie in der Schweiz. Nach deutschem Recht müsse die Firma intime Details über Patienten sofort vernichten, wenn Ärzte sie ohne deren ausdrückliche Einwilligung weiterleiten, sagt der Datenschutzbeauftragte aus Hamburg, Johannes Caspar. Dort hat die Eos-Gruppe ihren Hauptsitz. Betroffen sind jedoch nur Kunden von der Schweizer Tochterfirma.

Hacker soll IT-Sicherheitslücke ausgenutzt haben, um auf Eos-Server zuzugreifen

Man habe gleich nach der Anfrage der Süddeutschen Zeitung "eine umfassende Revision der Prozesse angeordnet", teilt eine Firmensprecherin mit. Eos wolle nun klären, weshalb sensible Daten von Schuldnern überhaupt erhoben und aufbewahrt wurden. Schweizer Behörden und Kunden habe man nun über das Leck informiert.

Nach Angaben des Informanten habe ein Hacker eine IT-Sicherheitslücke ausgenutzt, um an die Daten zu kommen. Vielen moderne Webseiten basieren auf einem Grundgerüst namens Apache Struts. Dort habe es eine Schwachstelle gegeben, über die es Dritten gelungen sei, auf Eos-Server zuzugreifen.

Es handelt sich um die gleiche Schwachstelle, die Hacker ausgenutzt haben, um sich im vergangenen September illegal Daten von 143 Millionen US-Amerikanern zu verschaffen: Namen, Sozialversicherungsnummern, Geburtsdaten, Adressen. Betroffen war die Wirtschaftsauskunftei Equifax. Anschließend brach erst der Aktienkurs ein, dann trat der Chef zurück.

Auf Nachfrage teilt eine Eos-Sprecherin mit, dass Anfang April Versuche bemerkt wurden, in denen "ungewöhnlich viele Pakete" an fremde Computer gesendet werden sollten. Eos habe jedoch "trotz intensivster Analysen nach wie vor nicht feststellen" können, "dass wir Opfer eines erfolgreichen Hacker-Angriffs geworden sein sollen". Eos gehe von einem "Verdachtsfall" aus und habe externe Unterstützung in Anspruch genommen.

Nach den Unregelmäßigkeiten im Frühling habe man den "Server komplett neu aufgesetzt. Die Sicherheitslücke wurde damit geschlossen". Nun werden die Systeme erneut analysiert. Es lässt sich nicht sagen, ob tatsächlich ein Angreifer von außen die Eos-Daten stahl, oder ob sie von jemandem weitergegeben wurden, der bereits Zugriff hatte - einem verärgerten Mitarbeiter, zum Beispiel. Die betroffene Webseite ist derzeit offline.