Bei der Zürcher Dextra Rechtsschutzversicherung geht es um Recht, Sicherheit und Vertrauen.
Doch genau dieses Vertrauen steht nun auf dem Spiel.
Hinter den Kulissen des Zürcher Versicherers lief offenbar über eine gewisse Zeit etwas gewaltig schief, mit potenziell dramatischen Folgen für Kunden.
Denn nach Informationen eines Insiders waren bei Dextra hochsensible Kundendaten unzureichend geschützt.
Darunter sollen sich Gesundheitsberichte, medizinische Einschätzungen sowie heikle Unterlagen wie Strafbefehle befunden haben.
Also Dokumente, die tiefe Einblicke in das Privatleben von Versicherten geben – und deren Offenlegung existenzielle Schäden verursachen kann.
Besonders brisant: Die Daten sollen nicht nur theoretisch gefährdet gewesen sein, sondern über einen gewissen Zeitraum ungeschützt zugänglich.
Wer Zugriff hatte und ob Dritte Einsicht nehmen konnten, bleibt bis heute offen.
Der PR-Text auf der Website fällt auffällig defensiv aus. Keine Zahlen, keine Details, keine klare Risikoeinschätzung.
Stattdessen bekannte PR-Floskeln: alles analysiert, alles aufgearbeitet, alles wieder sicher.
Für eine Branche, die täglich mit den intimsten Problemen ihrer Kunden arbeitet, ist das bemerkenswert wenig.
Bei Dextra heisst es: Der Vorfall sei auf eine Fehlleistung eines externen IT-Providers zurückzuführen.
Rund 15 Kunden seien betroffen gewesen. Der Datenschutz-Vorfall sei vollständig aufgearbeitet worden.
Sowohl die Finma als auch der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte seien informiert worden. Inzwischen sei die Datensicherheit wieder gewährleistet.
In der Versicherungswelt sorgt der Fall für Unruhe. Gerade Rechtsschutzversicherer sammeln Daten, die kaum sensibler sein könnten.
Für Kunden bleibt ein schaler Nachgeschmack.
Wer seine heikelsten Lebenskapitel einem Versicherer anvertraut, erwartet Diskretion – nicht ein Datenleck mit Verweis auf Dritte. Rechtsschutz sollte schützen. Auch die Daten.
Waren da Schweizer IT-Spezialisten am Werk?
Ich könnte es mir gut vorstellen, würde zu meinen Erfahrungen mit deren Fähigkeiten und Kompetenz passen.
Nicht jammern – die Schweizer wollten ein schwaches Datenschutzgesetz ohne relevante Strafen und genau das haben sie bekommen.
Mit dem von einigen hochgejubelten US-Abkommen, das die Schweiz noch mehr zur digitalen Kolonie der USA machen würde (sollte der tatsächlich unterzeichnet werden), soll unter anderem der „Datenaustausch“ mit US-Behörden und US-Firmen „vereinfacht“ werden.
Datensicherheit zum Billiglohn eingekauft, Leck gratis dazu.
Schuld hat natürlich der „externe ITler“.
Ach, ein externer ITler also. Übersetzt: Man hat Datensicherheit zum Ramschpreis eingekauft und ist jetzt überrascht, dass sie auch so geliefert wurde.
Wenn es um geistige Aussetzer geht, bin ich quasi Marktführer.
Wer regt sich über fehlenden Datenschutz auf? Die gleichen die jeden Toilettengang auf Insta posten, auf Facebook kommunizieren, LinkedIn frisieren, Whatsapp als verschlüssselt bezeichnen und Ueberweisungen „anonym“ über Bitcoins erledigen? Deren Passwort 123456 oder 654321 ist, oder gleich das Geburtstagsdatum? Alle Einkäufe auf Cummulus tracken lassen und per Kreditkarte bezahlen? Datenschutz? Wie naiv.
Externer ITler, wahrscheinlich in Indien oder Polen zum Ramschpreis. Interessiert eigentlich keinen Kunden, ob am Schaden ein externer oder interner Verursacher Schuld ist. Sondern die Dextra haftet.
Daten, dieses komische „Ding“; das sollen mal die anderen machen!
Jeder braucht und will Daten, keiner will sich jedoch darum kümmern. Sie sollen immer richtig, gut, vollständig, aktuell, … sein, aber das geschehe irgendwie. Die Geschäftsführung: „DIE“ sollen das mal machen …
Geld für Sicherheit oder Datenschutz? Ach was, alles zu teuer. Wir sind doch nicht interessant. Woher wollen das denn die Spezialisten wissen …?
Und überhaupt. Es sind ja die Daten von anderen, Hauptsache wir haben ein Back-up und können weiterarbeiten.
Stupid you!
Ein sehr aufgergter Autor berichtet über ein doch eher unspektakuläres Ereignis. Hold the horses, möchte man ihm zurufen.
das ganze Schweizer Volch scheint mir aufgergt zu sein!
Warum machst du ein so langes Gesicht, Pferd?
Merke: es ist NIE ein externer Whatsoever schuld. Schuld ist die Geschäftsleitung der Dextra, welche unsorgfältig mit den Daten umgegangen ist und eine schwache Infrastruktur hat, welche es billigen Externen erlaubt die Daten zu stehlen.
Ob dieser „Fingerpointing“-Frechheit sollte Jean-Marie Pithon den Hut nehmen. Verantwortung über die Datensicherheit und den Datenschutz kann man nicht delegieren.
Panama Papers, Palfner – eure „Expertise“ stinkt nach Selbstüberschätzung und intellektuellem Durchfall.
Bei 150 betroffenen Kundendossiers oder mehr würde ich mir auch Sorgen machen. Die Rede ist aber von 15, eine sehr überschsubare Zahl – so gross kann die vermeintliche Sicherheitslücke dann doch nicht gewesen sein.
Die fragwürdigen Rechereche- und Analysekompetenzen von IP sind bekannt. Würde mich nicht wundern, wenn das Ganze eine massiv aufgebauschte Story ist.
Welcher externer IT-Dienstleister?
Firmenschefs, welche die Datensicherheit aufs Spiel setzen und Externen ungesicherten Zugang zu ihren Netzwerken geben, SaaS-Software einsetzen oder ihre Daten einer US-Cloud anvertrauen sollten sofort abgesetzt werden.
Wo bleibt Hans Gerhard? Müssen wir uns Sorgen machen? Um schonendes Anhalten wird gebeten.
Die alte Grundregel greift hier wieder einmal. Sobald etwas digital erfasst ist, kann man davon ausgehen, dass es früher oder später geleakt, gehackt oder verkauft wird.
Datenschutz und Privatsphäre sind größtenteils eine Illusion. War es schon immer, denn die Leute reden seit Urzeiten miteinander, sei es am Stammtisch, an der Kaffeemaschine oder in der Waschküche.