Gabriele Holstein trägt einen Doktor-Titel. Ihre Position bei der UBS: „Group Data Protection Officer“.
Jetzt hat Holstein die über 100’000-köpfige Belegschaft ihrer Grossbank per Mail vor möglichem Ungemach gewarnt.
Grund: Das grösste Cyber-Leck der jüngeren Geschichte.
Die Daten aller aktuellen und vieler ehemaliger Mitarbeiter landeten in kriminellen Händen.
Schuld ist eine der wichtigsten Outsourcing-Partner der letzten Schweizer Grossbank: die Chain IQ.
Diese hat vor über 10 Jahren den ganzen Einkauf des Finanzmultis übernommen. Auf einen Schlag war aus einer frisch gegründeten Mini-AG ein Milliarden-Unternehmen geworden.
Sergio Ermotti sei Dank. Der Tessiner, der damals erst kurz zuvor erstmals Konzernlenker des Geld-Tankers geworden war, übertrug das „Procurement“ der neuen Chain IQ – zum Nulltarif.
Dass die Partnerschaft in einem „Hack“ der Kingsize-Klasse enden würde, hatten sich Chain-IQ-Gründer Claudio Cisullo und UBS-Chef Ermotti wohl nicht in ihren wildesten Träumen vorstellen können.
Vor drei Monaten kam das Giga-Leck an die Öffentlichkeit. Erst jetzt verschickte „Daten-Schützerin“ Holstein ihr Warnmail an die Truppen.
„Wir möchten Sie darüber informieren, dass Chain IQ, ein externer Outsourcing- und Beschaffungsdienstleister von UBS, vor Kurzem Ziel eines Cyberangriffs war, von dem mehrere Organisationen betroffen waren (der „Vorfall“)“, begann Holstein letzten Montag.
Und weiter: „Leider führte der Angriff auch zur Offenlegung bestimmter UBS-Daten, die auf einer externen Domain veröffentlicht wurden.“
Wie schlimm „der Vorfall“ ist, macht Data Officer Holstein gleich selbst klar. Die geraubten Informationen würden „Ihren Namen und die folgenden Ihnen zugewiesenen Mobilnummern“ beinhalten, so ihr Mail.
Dieses ging nicht nur an aktuelle Interne, sondern auch an unzählige Ex-UBSler.
Der „Schutz von personenbezogenen Daten“ sei für die Bank „von zentraler Bedeutung“.
„Deshalb behandelten wir diesen Vorfall mit äusserster Sorgfalt und begannen eine Untersuchung, die unter anderem analysierte, welche Personalien betroffen waren.“
Dass Partnerin Chain IQ überhaupt die Handy-Nummern der Leute, ihren genauen Büro-Standort, den hierarchischen Rang, das Email, die eigene Sprache, die präzise Team-Einheit sowie Kostenstelle besass, habe gute Gründe, schreibt die UBS-Managerin.
Die Chain IQ „hatte zuvor Zugriff auf ausgewählte Kontaktinformationen von UBS-Mitarbeitenden, um unterschiedliche betriebliche Prozesse im Rahmen der Beschaffungsdienste für unser Unternehmen zu unterstützen.“
Dann rät sie den Betroffenen eindringlich: „Seien Sie wachsam bei verdächtigen E-Mails oder Anrufen, die persönliche Informationen verwenden.“
Und: „Überprüfen Sie bitte Telefonnummern und E-Mail-Links stets, bevor Sie reagieren oder sie anklicken (…).“
Das 100’000-fache Leck könnte eine Verletzung des Bankgeheimnisses sein. Weil jeder Mitarbeiter zwingend ein Lohnkonto bei der UBS hat, besitzen die Räuber einen Datenschatz, der weit über Telefon-Nummern hinausgeht.
Die Bank darf nämlich nie verraten, wer bei ihr Kunde ist. Jetzt aber schwirren 100’000 oder mehr UBS-Kundennamen unkontrolliert im Orbit herum.
Aus der Bank heraus ist zu vernehmen, dass das Datenleck „nicht unter das Bankgeheimnis“ falle, „da es sich bei den Daten um nicht sensitive Informationen handelt, wie Firmen-Telefonnummern und E-Mail-Adressen“.
Man würde sich „an alle regulatorischen und sonstigen Informationspflichten“ halten, so die UBS. Die Finma wollte auf Fragen keine Stellung nehmen.
Was ist mit dem gestrigen Artikel mit der Headline „Starb Alfred Heer an Überdosis?“ passiert?
was wohl.
war der svp wohl nicht so genehm.
Luki wurde wohl zurückgepfiffen. Angehörige? Behörden?
Gibt’s ihn noch beim Tagi?
…. gelöscht, wegen zuviel offengelegter Menschlichkeit!
Allein die Juzstizbeamten haben nach der Moralvorstellungen der Schweiz Zugang zu wahrhaftigen Schilderungen. Pietät? Wo kämen wir da hin?
Wenn dann allerdings ein Richter «übergriffig» wird, aber im strafrechtlichen Bereich, wie in Graubünden, schafft es Justizia plötzlich nicht innert Frist, das Unsagbare zu vearbeiten.
Wahrscheinlich möchte die SVP mit dem Hellebardenmann an der Spitze den Ball flach halten weil der Freigeist Heer nicht so ganz in das „völkische“ Schema der Partei passt! Gegen die mediale Seligsprechung von Heer hat sie nichts einzuwenden!
Anständig bleiben, auch wenn man nicht Heers Fan war:
Heer hatte Krebs, was wir alle in der Partei wissen.
Die einzige Frage die ich mir stelle ist: Warum ist der Europapolitiker am Donnerstagnachmittag statt am Arbeiten, in einer Bar im Kreis 4 und verlässt die Bar erst am Abend wieder?
Interessant wäre mal näher hinzusehen was es mit dieser genannten Computerfirma, welche angeblich Herrn Heer mit Herrn Tuena besass (2001), auf sich hatte. Beide hatten ja wohl kaum Zeit diese zu bearbeiten. Sind Kunden bekannt? Auch die Tuena Geschichten damals im Jahre 2012 betreffend Sonntags-Zeitung/Tages-Anzeiger betreffend einer Investment-Firma (mit seinem Hintergrund) wurden nie richtig erklärt. Dazu die verschiedenen Geschäftsadressen (IT-Firma), Zürich, dann mal Bülach (?) dann wieder 2x die Privatadresse von Herrn Heer. Es gibt da viele Fragezeichen…!
Suche die Frau …
als der Sparwahnsinn begann blieb die Sicherheit auf der Strecke. Das Resultat sieht man nun.
Schlimm finde ich im Schreiben, wie selbstverständlich das Thema heruntergespielt wird. Wo ich mich gegen die Auslagerung meiner HR Daten nach Polen wehren wollte, wurde mit Kündigung gedroht.
Wurde der Beitrag gestern von Heer von der Zürcher Staatsanwaltschaft mit Hilfe der SVP gespert?
Wer es veranlasst hat, ist nicht wichtig. Wichtig ist, dass es gemacht wurde. Lukas Hässig hat mit dem Bericht offenbart, wie er tickt. Pietätlos. Menschenverachtend waren auch viele Kommentare.
Sollte Ermotti jetzt nicht die Verantwortung übernehmen, für welche er angeblich so exorbitant vergütet wird?
Oder kriegt er das viele Geld vielleicht doch einfach, damit er diesen und alle weiteren Skandale einfach aussitzt?
Und so einen Pfeifen-Bank musste der Steuerzahler 2x (1x UBS, 1x CS; wg. Übernahme darf man die Fälle addieren!) retten?
Ist da noch mehr im Busch? Mitarbeiterdaten geklaut: Und was ist mit den Kundendaten? Kommt es dort nicht mehr drauf an, weil man die schon selber zu Geld gemacht hat?
Wieso hat der externe Dienstleister, welcher Beschaffungsdienstleister ist, die Daten von 100’000 UBS Angestellten, darunter auch ehemaligen? Scheint auf den ersten Blick auch nicht gerade IT-Security konform, wäre aber wohl einen weiteren Artikel wert!
Weil jemand aus einem Unternehmen Eintritt, und dann wieder Austritt, vielleicht? Die sind Ehemalige aus der Sicht heute.
Oder weil jemand austrat (Gnüegeler, Pension, rausgeschmissen, etc.) und seine Daten dennoch betroffen sind.
Die Daten sind für Chain IQ nicht relevant. Die UBS hatte sie nur gedankenlos herausgegeben, weil Chain IQ eine Art von Spin-off war. Chain IQ hat wiederum nicht die IT-Sicherheitsstandards einer Bank.
Aber Schwamm drüber, es sind ja nur Mitarbeiterdaten und nicht Daten echter Kunden. Mit Mitarbeitern kann man alles machen.
Mein Vertrauen in die UBS ist weg.
wenn man nie eines in Buenzli hat, kann man es auch nicht verlieren …
ja Papi, wenn ich einmal gross bin, möchte ich auch ein Spießer werden!
Erst jetzt? Meines als ich mal im Backoffice war.
Dütsche Grammatick sähr schwerer.
Jo. Fohl krass schwärer.
Es kümmert die Amigos schlicht nicht!
Datenschutz … Sind doch nur Daten – und dann erst noch meist der anderen – und zudem, was soll schon passieren. Die Daten können ja wieder hergestellt werden und Folgen wie Probleme sind durch die Betroffenen zu tragen.
>95% der Manager können Datenschutz nicht von Datensicherheit unterscheiden und selbst die Datensicherheit ist ihnen meist ziemlich egal.
Und selbst wenn es zur Ransomware Attacke kommt ist man „armes Opfer“ – obwohl es eigentlich Schlendrian ist.
Die UBS ist wohl kaum unbedarfter in solchen Fragen wie die Bundesverwaltung. Angeblich kann bei dieser niemand eine 100%-ige Sicherheitsgarantie geben. Deshalb: Hände weg von der e-ID und am kommenden Sonntag ein klares NEIN!
Das Mail kam vor genau einer Woche. Chain IQ wurde von UBS mit unnötig vielen Mitarbeiterdaten bestückt und hat diese nun durch ihre unfähige IT verhühnert.
Bei den kritischsten Daten handelt es sich vor allem um die Geschäfts-Handy-Nummer. Wobei viele (dumme) Mitarbeiter der UBS ihr eigenes Handy (und Nummer) zur Verfügung stellen und nicht auf einem Geschäftshandy beharren. Dummheit will eben bestraft sein.
Na dann. Viel Glück in Amerika.
Die Amerikaner nehmen das mit dem Datenschutz (und auch der Datensicherheit) eh nicht so ernst.
Sogar die eidg. Finanzverwaltung kann die Daten nicht vor dem Kuckuck im Horst schützen. Aber wie vorliegend war sie sofort in der Lage, die Schuldigen zu benennen.
So kann es jedoch kein Vertrauen in digitale Speicherstrategien geben – und erst recht nicht in eine E-ID.
Die CIO’s folgen der falschen Strategie. Das will kaum eine FÜhrungskraft einsehen. Man ist vom Wahn eines Hypes besessen. Kern der Sache ist: Wenn es einen Router-Eingang gibt, dann gibt es auch eine Drehtür für raus. Und da ist Mitnahme.
Kaum eine Datenbank ist nicht live gespyt. Das merkt man Paypal und Post.
Global Leader in indirect Procurement!
Das steht auf der Homepage der Chain IQ. Da haben die Hacker grosse Datenmengen beim global Leader procured ( beschafft). Diese Bude wurde dank Herr Motti gross. Noch heute klebt ein 70 jähriger ex UBS auf einem VRSitz. Überrascht?
Vetternwirtschaft hat immer ihren Preis, und zwar einen hohen:
Inkompetenz!
die Banken sind ja genau das Gegenteil von Geldtankern. Letztmals war es deutlich zu sehen bei der CS. Auch dort fehlte die Gelddeckung.
Bei so wenig Eigenkapital im Verhältnis zur Bilanz, sind diese Banken alles andere wie Geldtanker. Es handelt sich eher um praktisch leere Tanker, bei denen der Kapitän auf der Brücke zwar massiv abkassiert, aber kaum noch imstande ist etwas zu liefern. Solche Tanker mit riesigen Hohlräumen, ohne Inhalt machen wirtschaftlich keinen Sinn. Geldtanker wären mit Gold und Silber beladen!
IT-Sicherheit ein viel benutzter Begriff der ständig wiederkehrend über kurz oder lang als unerfüllbar bewiesen wird.
IT-Sicherheit ist etwas das es gar nicht gibt.
alles bereits bekannt. Next please
Dieses TamTam immer wenn Daten gestohlen werden. Dabei sind gefühlt 90% der Menschen so derartige Trottel, dass sie freiwillig und GRATIS jeden Stuss von sich per FB, Insta, WhatsApp-Status oder sonst einer Döödelapp in die Welt schicken. Echt jetzt.
Ja und, was für ein Aufschrei. Wieviel von denen Daten sind schon längst früher gehackt worden? Und wieviel Hunderttausende User wissen seit Jahren das x oder y ein UBS Konto haben müssen, da sie Angestellte der UBS sind.
Und wir stimmen am nächsten Sonntag über die E-ID ab. Damit werden ueber einen Primary KEY sämtliche Daten mit unserer Person verknüpft. Nur dumpfe und nicht informierte Menschen geben für ein bisschen Bequemlichkeit alle ihre persönlichen Daten preis.
Das beste Argument, das ich gehört habe, das es so oder so kommt. Grauenhaftes Denken
An alle, welche noch nicht abgestimmt haben: E-ID hat seine Risiken, die man nicht unterschätzen darf.
Bereits bei der Gründung von Chain IQ wurden viele Verbindungen vergoldet, aber der IQ vernachlässigt. Einige Buddys sind so zu Multimillionären aufgestiegen. Das Geld haben sie verdient, weil jetzt effizienter Bleistifte und Drucker eingekauft wurden. Wer’s glaubt.