Der Versicherer Zurich sei von einem Hacker über eine Sicherheitslücke informiert worden, schreibt Sicherheitsexperte Marc Ruef von SCIP AG in einem Tweet vom Sonntag. Zwar habe die Firma das Problem behoben, aber weder die Kunden informiert noch eine Pressemitteilung veröffentlicht. Dies wäre laut Datenschutz-Grundverordnung der EU (GDPR) erforderlich gewesen, so Ruef weiter. Allerdings ist auf der Zurich-Webseite in Spanien eine Mitteilung aufgeschaltet, die den Vorfall berichtet (https://www.zurich.es/comunicado-oficial).
Der Angreifer beschloss nach eigenen Angaben, Zurich zu bestrafen, indem er die Kundendaten offenlegte, wie in einem dem Tweet beigefügten Screenshot aus dem Darknet zu lesen ist.
Kritisiert wird auf Twitter und Linkedin, wo der Inhalt des Tweets ebenfalls geteilt wurde, dass Zurich als Versicherer, der Cyberversicherungen anbietet, den Leak nicht besser kommuniziert habe. Betroffen seien 4,2 Millionen Kunden aus Spanien, heisst es bei Linkedin.
Zurich: Kunden sofort informiert
Zurich widerspricht in einer Mail an «HZ» diesen Aussagen: «Zurich hat ihre Kunden sofort am 15. August 2021 entweder direkt oder über ihre Vertriebsorganisation informiert. Zurich hat alle rechtlichen und regulatorischen Anforderungen eingehalten und den Vorfall umgehend der Polizei und der spanischen Datenschutzbehörde gemeldet. Der Ursprung des Vorfalls wurde erkannt und es wurde bestätigt, dass dieser nicht in unseren eigenen Systemen stattgefunden hat.»
Die SCIP AG ist eine Beratungsfirma im Bereich Cybersecurity in Zürich.
(gku)