EDOEB-nodate-4dd1939
Schlussbericht Mitto AG vom 17. März 2023PDF292.14 kB17. März 2023
Deutsch5 min
Source admin.ch
Schlussbericht Mitto AG vom 17. März 2023PDF292.14 kB17. März 2023
Erwägungen
0 Schweizerische Eidgenossenschaft Corlfëdëratiorl suisse Confederazione Svizzera Confeaeraziun svizra Eidgenössischer Datenschutz- und Öffentlich keitsbeauftragter EDÖB
Der Beauftragte
POST CH AG EDOB EDÖB-A-IE8D3401/3
Einschreiben (R) MLL Meyerlustenberger Lachenal Froriep AG Schiffbaustrasse 2 Postfach 8031 Zürich
Ihr Zeichen: Unser Zeichen: EDÖB-A-1 E8D3401/3 Sachbearbeiter/in: Katja Gysin Bern, 17. März 2023
MittoAG, möglicher Missbrauch des Zugangs zum Mobilfunknetz, Abschluss Vorabklärung
Sehr geehrte Damen und Herren
Im Dezember 2021 wurde der Eidgenössische Datenschutz- und öffentlichkeitsbeauftragte (EDÖB) aufgrund von Medienberichten auf eine mögliche unrechtmässige Datenbearbeitung durch einen Mitar- beiter der MittoAG aufmerksam. Es wurde der Vorwurf erhoben, dass ein Mitarbeiterder Mitto AG über das Firmennetzwerk die unerlaubte Überwachung von Personen, möglicherweise durch Drittfir- men, ermöglicht habe.
Im Rahmen einer Vorabklärung wurden vom EDÖB dazu folgende Untersuchungshandlungen vorge- nommen:
Abklärungen
1.
In einer ersten Aufforderung wurde die MittoAG am 8, Dezember 2021 gebeten, zum fraglichen Sach- verhalt generell Stellung zu nehmen. Die entsprechende Antwort erfolgte durch die Rechtsvertretung der MittoAG innerhalb der erstreckten Frist am 7, Januar 2022. Darin wurde ausgeführt, dass die Mitto AG über keine Kenntnisse eines derartigen Missbrauchs verfügte, und dass die MittoAG organisatori- sche und technische Datenschutzmassnahmen zum Schutz vor einer unbefugten Bearbeitung getrof- fen hätte. Begleitetwurde diese Eingabe von einer umfangreichen Dokumentation der anwendbaren Prozesse und Richtlinien.
Parallel zur Stellungnahme der Mitto AG hat der EDÖB die drei schweizerischen Mobilfunkbetreiber um Beantwortungeines Fragenkatalogs gebeten. Der Fokus lag bei einer allfälligengeschäftlichen Verbindung zur MittoAG sowie der technischen Einschätzung der mutmasslich ausgenutzten Schwachstelle durch die MittoAG. Die Mobilfunkanbieterbestätigtenvertragliche Verbindungen zur
Feldeggweg 1 3003 Bern Tel. +41 58 46374 84. Fax +41 58 465 99 96 www.edoeb.admin.ch
EDÖB-A-IE8D3401/3
MittoAG, aber schlossen – unterVerweis auf technische und organisatorischeMassnahmen zur Ge- währleistung der Datensicherheit – aus, dass es zu effektiven Missbräuchen über die jeweiligen Mobil- netze gekommen war.
2.
In einem zweiten SchriftenwechseË forderte der EDÖB die Mitto AG am 4. April 2022 auf, ihm Unterla- gen zuzustellen, aus denen hervorgeht, welche Prüfungen von der MittoAG oder von ihr Beauftragten konkret durchgeführt wurden, um festzustellen, dass – gemäss ihren Aussagen – kein Missbrauch vor- gelegen hat.
Die MittoAG nahm dazu innerhalbder erstreckten Frist am 1. Juni 2022 Stellung. In den Ausführungen wurde auf die ISO-Zertifizierungender MittoAG verwiesen und darüber hinaus geltend gemacht, dass eine internePrüfungder Service-Plattformkeine Kompromittierungdes Systems gezeigt habe. Es seien keine Anhaltspunkte für einen Missbrauch gefunden und die in den Medienberichten erwähnten Personen hätten keinen Zugriff auf Code-Repositories, und konnten somit keine unrechtmässigen An- derungen vornehmen. Es seien auch keine Änderungen oder unerwünschte Aktivitäten im Bereich der Softwarefestgestellt worden. Eine externe Prüfung im Rahmen eines Sicherheits-Audits der Service Delivery Plattformund der Telekommunikationssysteme der Mitto AG hätten ebenfalls keine Auffällig- keiten zu Tage gefördert.
3.
Mit Schreiben vom 19. August 2022 forderte der EDÖB die MittoAG auf, zusätzliche Ausführungen zu möglichen unberechtigten Zugriffen auf die Systeme zu machen. Er stellte die Frage, ob eine oder mehrere Personen ihren Zugriff auf die Systeme der Mitto AG ausgenutzt hatten, um nicht berechtigten Dritten Zugang zu Informationen zu verschaffen oder direkten Zugang zum System selber zu ermögli- chen. Der EDÖB erwartete eine Auswertung von Protokollierungsdaten, um nachzuweisen, dass alle Systemzugriffe gerechtfertigt waren.
Die MittoAG nahm mit Schreiben vom 28. Oktober 2022 zu diesem Themenbereich ausführlich Stel- lung und stellte einen Untersuchungsbericht zu den durchgeführten Prüfschritten zur Verfügung. Der Bericht wertete die Active Directory-Protokolle, Fernzugriffs-VPN Protokolle, Multifaktor-Authentifizie- rungsprotokolle,Anwendungsprotokolleund alle Serverprotokolle (einschliesslich Server- und Dienst- protokolle,die mit den Netzen der Mobilfunkbetreiberund -anbieter verbunden sind) für verschiedene Zeiträume aus.
Darüber hinaus wurden alle Identitätszugriffskontrollsystemegeprüft, um sicherzustellen, dass der Zu- griffentsprechendder Rollenund Berechtigungenerfolgte.Zudem machteder BerichtAngaben zum Software Development Lifecycle, der seit 2015 Standard war und nach Einschätzung der Mitto AG eine unzulässige Installationvon Software für die Lokalisierung von Mobilfunkteilnehmernverhindert bzw. aufgezeigthätte. Der Bericht enthieltauch Erläuterungen zum Identity and Access Management für in- terne und externe User bei der MittoAG. Auch hier wurden keine Auffälligkeitenfestgestellt.
4.
In einervirtuellenBesprechungam 13. Dezember 2022 zwischen Vertreterinnendes EDÖB, der Mitto AG und ihrer Rechtsvertretung wurden gewisse zusätzliche Erläuterungen zum Bericht abgegeben.
Würdigung
Gemäss dem Bundesgesetz über den Datenschutz(DSG, SR 235.1) dürfen DatenbearbeiterPerso- nendaten nur rechtmässig und unter Einhaltungder allgemeinen Bearbeitungsgrundsätze bearbeiten (Art. 4 DSG). Sie haben dabei die Pflicht. die Daten durch angemessene technische und organisatori- sche Massnahmen gegen unbefugtes Bearbeiten, beispielsweise unberechtigteZugriffe, zu schützen. Der EDÖB hat angesichts der geschildertenVorkommnisse in einer Vorabklärung geprüft,ob es dies- bezüglichzu Versäumnissen gekommen ist. Die Mitto AG ist dabei den Begehren des EDOB in allen Belangen nachgekommen
So hat sie im Rahmen des Schriftenwechsels Nachweise zu den organisatorischen Rahmenbedingun- gen des Systembetriebs erbracht. Sie hat im Weiteren erläutert, mitwelchen Massnahmen sie uner- wünschte bzw. unerlaubteÄnderungen an der Software ihrer Systeme verhindert bzw. aufdecken kann. Die Auswertung der vorhandenen Protokollierungsdatenerlaubte Aussagen zu Zugriffen auf die Systeme
Sowohl die Prüfung der Regeln für Software-Änderungen als auch die Auswertung der Zugriffe auf die Systeme haben gemäss den Angaben der MittoAG keine Hinweise ergeben, die eine missbräuchliche Verwendung der Systeme in der vorgeworfenen Weise nahelegen würden.
Die MittoAG hat zudem mehrfach ausgeführt, dass es Mitarbeitenden gar nicht möglich sei – ohne eine Veränderung der Systeme bzw. der Software - einen Zugriff auf Lokalisierungsdaten von SMS- Empfängerinnen und Empfängern zu erlangen. Diese Aussage wird von den Erläuterungen der ange- fragten Mobilfunkanbietern gestützt. Eine unentdeckte bzw. unerlaubte Veränderung der Software schloss die MittoAG, gestützt auf den seit 2015 eingeführte Software Development Cycle. aus.
Der EDÖB hat im Rahmen seiner ihm zur Verfügung stehenden Mittel die notwendigen und möglichen Prüfungenveranlasst. Anhand der dem EDÖB zur Verfügung stehendenAngaben ergeben sich keine Hinweise, die den Verdacht, dass es zu einer Verletzung von Datenschutzbestimmungen gekommen ist, bestätigen würden. Da es sich bei den Vorwürfen zum Fehlverhalten der MittoAG um technisch wenig spezifische Anschuldigungen handelt, hat der EDÖB seine Mittelvorderhand ausgeschöpft, ohne dass sich der Verdacht auf eine Verletzung von Datenschutzbestimmungen erhärtet hätte.
Unter diesen Gesichtspunkten schliesst der EDÖB die Vorabklärung in Sachen MittoAG ab und ver- zichtet auf allfällige Empfehlungen.
Freundliche Grüsse
.-N. Adrian L Der Bea lftragte
Beilage: Englische Übersetzung des deutschen Originalberichts