Swisscom hat versehentlich Fotos, Videos, Musik und weitere Dateien von hunderten Kunden aus dem Online-Speicherdienst MyCloud gelöscht. Der vermeintlich sichere Onlinespeicher erwies sich als löchriges Sieb, wie die Zeitungen des Medienhauses Tamedia (Paywall) aufdeckten.
Wieviele Kunden genau betroffen sind und welche Entschädigungen entrichtet werden, will Swisscom nicht angeben. In einem Fall wurden laut Berichten 50 Franken bezahlt. Doch es ist klar: Die Datenpanne bei MyCloud wirft ein schlechtes Licht auf den viel beworbenen Speicherdienst der Swisscom, der über 400'000 Kunden hat. Swisscom antwortet am Freitag auf fünf Fragen der «Handelszeitung» zum Daten-Unfall.
1. Warum waren die Daten bei MyCloud nicht mehrfach an verschiedenen Orten abgespeichert?
In MyCloud seien die Daten «lokal und geografisch redundant in Swisscom Rechenzentren gespeichert», schreibt Swisscom-Mediensprecher Sepp Huber auf Anfrage. Die Daten wären damit auch bei einem Komplettausfall eines Rechenzentrums «jederzeit sicher».
Bei der vorliegenden Datenpanne wurden die Dateien laut Swisscom aber durch einen Fehler zum endgültigen Löschen verschoben. Das sei möglich, weil auch ein Nutzer, der aktiv seine Daten löscht, sich darauf verlassen können müsse, dass die Daten wirklich unwiederbringlich gelöscht sind, schreibt Huber. Ein «klassisches Backup» gebe es nicht in der Privatkunden-Lösung.
2. Hat Swisscom ihren Kunden tatsächlich nur 50 Franken für den Daten-Verlust bezahlt?
Der Wert von privaten Erinnerungsfotos ist natürlich nur schwer in Geld abzuschätzen. 50 Franken erscheinen dennoch tief. Swisscom-Sprecher Huber relativiert: «Die allermeisten der betroffenen Nutzer – 98 Prozent – haben nur einen sehr geringen Anteil ihrer Daten, das heisst maximal 5 Prozent, verloren».
Die Swisscom habe alle betroffenen Kunden persönlich informiert und zeige sich je nach Ausmass des Datenverlusts entsprechend kulant. «Die Information, wonach wir alle mit 50 Franken entschädigt hätten, ist also falsch», schreibt Huber. Mit allen Betroffenen, die erreicht wurden, habe man eine Lösung gefunden.
3. Die Dateien der Kunden sind bei MyCloud unverschlüsselt gespeichert und laut Berichten für Servicemitarbeiter frei einsehbar. Stimmt das?
Bei internationalen Konkurrenten wie Dropbox sind alle Daten verschlüsselt und nur für den Kunden einsehbar. Bei Swisscom gemäss Zeitungsbericht zwar die Übertragung von Daten auf MyCloud verschlüsselt, die Datenspeicherung allerdings nicht.
Huber widerspricht: «Die Daten sind von niemanden ausser dem Nutzer selbst ‹frei› einsehbar, sondern sind in Paketen gestückelt abgelegt». Erst beim Abruf durch den Nutzer würden die Teile von der Software zusammengefügt und dem Benutzer zugestellt.
4. Welche konkreten Massnahmen hat die Swisscom ergriffen, damit so etwas nicht mehr vorkommt?
Die Swisscom habe zusätzliche Sicherheitsprüfungen sowie ein zweistufiges Löschverfahren eingeführt, schreibt Huber. Gleichzeitig werde das Versprechen, dass vom User gelöschte Daten auch wirklich vom System entfernt werden, «selbstverständlich» eingehalten.
5. Warum hat die Swisscom nicht informiert, sondern auf die Enthüllung durch die Medien gewartet?
Weil die Swisscom die betroffenen Kunden kenne, habe man entschieden, sie direkt und persönlich zu informieren, so der Swisscom-Sprecher. «Wir bedauern den Vorfall ausserordentlich und sind uns bewusst, dass dies mit grossen Unannehmlichkeiten für unsere Kunden verbunden ist.» Zudem habe man nun alle Massnahmen getroffen, damit ein solcher Vorfall in Zukunft nicht mehr vorkomme.