Die Credit Suisse ist von einem umfangreichen Diebstahl von Personaldaten betroffen. Ein früherer CS-Mitarbeiter hat vor einigen Jahren die Daten von zahlreichen Angestellten auf ein persönliches Gerät kopiert. Damit habe er gegen die Richtlinien der Bank verstossen, bestätigte die Bank am Dienstag entsprechende Medienberichte.
Die betroffenen Angestellten sind zu Beginn dieser Woche über den Diebstahl informiert worden, wie eine CS-Sprecherin auf AWP-Anfrage sagte. Offenbar hat der in Indien tätige ehemalige Angestellte die unrechtmässig kopierten Daten aber weder verkauft noch versucht, die Bank zu erpressen: «Bis heute gibt es keine Hinweise für eine erfolgte Weitergabe oder eine entsprechende Absicht, die Daten in irgendeiner Weise zu nutzen», betonte die CS-Sprecherin.
Cyberprämien werden sich bis 2025 verdoppeln.
SVV-Cyberexperte Gabor Jaimes
Bei den entwendeten Daten handelt es sich um Personaldaten aus den Jahren 2013 bis 2016. Sie enthielten offenbar auch Informationen über Löhne und Boni wie auch über die persönlichen Bankverbindungen von Mitarbeitenden, wie die Nachrichtenagentur Bloomberg und das Portal «Inside Paradeplatz» unter Berufung auf das Schreiben an Mitarbeitende berichteten. Die CS erlangte erst 2021 Kenntnis vom Datendiebstahl, obwohl der Mitarbeiter bereits 2019 aus dem Unternehmen ausgeschieden war.
Die Credit Suisse habe nach einer «gründlichen Untersuchung des Vorfalls» Massnahmen ergriffen, einschliesslich rechtlicher Schritte. Man werde dies auch weiterhin tun, um den Vorfall angemessen einzudämmen, sagte die Sprecherin weiter. Es seien auch Gerichte in Indien eingeschaltet worden, wobei Durchsuchungen und Beschlagnahmungen angeordnet worden seien. (awp/hzi/kbo)
Datenschutz: Meldepflicht bei Diebstahl, Spionage oder Sabotage
Wenn Kundendaten geklaut werden, egal ob von Hackern oder Mitarbeitern, müssen Sie dies melden. Artikel 33 der Datenschutzgrundverordnung (DSGVO) schreibt vor, dass die Verletzung des Schutzes personenbezogener Daten, also etwa im Falle eines Datenklaus durch Cyberkriminelle, innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet werden muss. Besteht dadurch ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen, so müssen diese nach Artikel 34 DSGVO auch direkt über den Datenklau informiert werden.
Datenschutzupdate auch in der Schweiz
Wichtig für all diejenigen, die Waren oder Dienstleistungen in der Schweiz vertreiben und so dort ebenfalls Kundendaten erheben. Auch hier wurde bezüglich der Meldepflicht im Juli 2022 nachgebessert: So müssen nun nach Artikel 24 des revidierten Datenschutzgesetzes (revDSG) Verantwortliche dem Eidgenössischen Datenschutz- und Öffenlichtkeitsbeauftragten (EDÖB) «so rasch als möglich eine Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt» melden.
Cyber-Versicherung als wichtige Ergänzung zur IT-Sicherheit
Die Zahl der Cyberangriffe auf IT-Systeme von Unternehmen nimmt zu, mit teilweise drastischen Konsequenzen für die Firmen. Doch noch immer schützen sich wenige Unternehmen mit einer Versicherung gegen die finanziellen Folgen von digitalen Angriffen: Lediglich 3,6 Prozent der Unternehmen in Deutschland verfügen über eine entsprechende Deckung, wie die IT Sicherheitsberatung Corporate Trust in einer Studie herausfand. Viele Unternehmen trauen sich offenbar zu, die Folgen eines Einbruchs in die IT-Systeme beherrschen zu können.