Schlussbericht Mitto AG vom 17. März 2023PDF292.14 kB17. März 2023

0.

Eidgenössischer Datenschutz- und Öffentlich keitsbeauftragter EDÖB Der Beauftragte Mmir;T_:_–_] EDOB POST CH AG EDÖB-A-IE8D3401/3 Einschreiben (R) MLL Meyerlustenberger Lachenal Froriep AG Schiffbaustrasse 2 Postfach 8031 Zürich Ihr Zeichen: Unser Zeichen: EDÖB-A-1 E8D3401/3 Sachbearbeiter/in: Katja Gysin Bern, 17. März 2023 MittoAG, möglicher Missbrauch des Zugangs zum Mobilfunknetz, Abschluss Vorabklärung Sehr geehrte Damen und Herren Im Dezember 2021 wurde der Eidgenössische Datenschutz- und öffentlichkeitsbeauftragte (EDÖB) aufgrund von Medienberichten auf eine mögliche unrechtmässige Datenbearbeitung durch einen Mitarbeiter der MittoAG aufmerksam. Es wurde der Vorwurf erhoben, dass ein Mitarbeiterder Mitto AG über das Firmennetzwerk die unerlaubte Überwachung von Personen, möglicherweise durch Drittfirmen, ermöglicht habe. Im Rahmen einer Vorabklärung wurden vom EDÖB dazu folgende Untersuchungshandlungen vorgenommen: Abklärungen 1.

In einer ersten Aufforderung wurde die MittoAG am 8, Dezember 2021 gebeten, zum fraglichen Sachverhalt generell Stellung zu nehmen. Die entsprechende Antwort erfolgte durch die Rechtsvertretung der MittoAG innerhalb der erstreckten Frist am 7, Januar 2022. Darin wurde ausgeführt, dass die Mitto AG über keine Kenntnisse eines derartigen Missbrauchs verfügte, und dass die MittoAG organisatorische und technische Datenschutzmassnahmen zum Schutz vor einer unbefugten Bearbeitung getroffen hätte. Begleitetwurde diese Eingabe von einer umfangreichen Dokumentation der anwendbaren Prozesse und Richtlinien. Parallel zur Stellungnahme der Mitto AG hat der EDÖB die drei schweizerischen Mobilfunkbetreiber um Beantwortungeines Fragenkatalogs gebeten. Der Fokus lag bei einer allfälligengeschäftlichen Verbindung zur MittoAG sowie der technischen Einschätzung der mutmasslich ausgenutzten Schwachstelle durch die MittoAG. Die Mobilfunkanbieterbestätigtenvertragliche Verbindungen zur Feldeggweg 1 3003 Bern Tel. +41 58 46374 84. Fax +41 58 465 99 96 www.edoeb.admin.ch EDÖB-A-IE8D3401/3 -- 1 of 3 -MittoAG, aber schlossen – unterVerweis auf technische und organisatorischeMassnahmen zur Gewährleistung der Datensicherheit – aus, dass es zu effektiven Missbräuchen über die jeweiligen Mobilnetze gekommen war.

2.

In einem zweiten SchriftenwechseË forderte der EDÖB die Mitto AG am 4. April 2022 auf, ihm Unterlagen zuzustellen, aus denen hervorgeht, welche Prüfungen von der MittoAG oder von ihr Beauftragten konkret durchgeführt wurden, um festzustellen, dass – gemäss ihren Aussagen – kein Missbrauch vorgelegen hat. Die MittoAG nahm dazu innerhalbder erstreckten Frist am 1. Juni 2022 Stellung. In den Ausführungen wurde auf die ISO-Zertifizierungender MittoAG verwiesen und darüber hinaus geltend gemacht, dass eine internePrüfungder Service-Plattformkeine Kompromittierungdes Systems gezeigt habe. Es seien keine Anhaltspunkte für einen Missbrauch gefunden und die in den Medienberichten erwähnten Personen hätten keinen Zugriff auf Code-Repositories, und konnten somit keine unrechtmässigen Anderungen vornehmen. Es seien auch keine Änderungen oder unerwünschte Aktivitäten im Bereich der Softwarefestgestellt worden. Eine externe Prüfung im Rahmen eines Sicherheits-Audits der Service Delivery Plattformund der Telekommunikationssysteme der Mitto AG hätten ebenfalls keine Auffälligkeiten zu Tage gefördert.

3.

Mit Schreiben vom 19. August 2022 forderte der EDÖB die MittoAG auf, zusätzliche Ausführungen zu möglichen unberechtigten Zugriffen auf die Systeme zu machen. Er stellte die Frage, ob eine oder mehrere Personen ihren Zugriff auf die Systeme der Mitto AG ausgenutzt hatten, um nicht berechtigten Dritten Zugang zu Informationen zu verschaffen oder direkten Zugang zum System selber zu ermöglichen. Der EDÖB erwartete eine Auswertung von Protokollierungsdaten, um nachzuweisen, dass alle Systemzugriffe gerechtfertigt waren. Die MittoAG nahm mit Schreiben vom 28. Oktober 2022 zu diesem Themenbereich ausführlich Stellung und stellte einen Untersuchungsbericht zu den durchgeführten Prüfschritten zur Verfügung. Der Bericht wertete die Active Directory-Protokolle, Fernzugriffs-VPN Protokolle, Multifaktor-Authentifizierungsprotokolle,Anwendungsprotokolleund alle Serverprotokolle (einschliesslich Server- und Dienstprotokolle,die mit den Netzen der Mobilfunkbetreiberund -anbieter verbunden sind) für verschiedene Zeiträume aus. Darüber hinaus wurden alle Identitätszugriffskontrollsystemegeprüft, um sicherzustellen, dass der Zugriffentsprechendder Rollenund Berechtigungenerfolgte.Zudem machteder BerichtAngaben zum Software Development Lifecycle, der seit 2015 Standard war und nach Einschätzung der Mitto AG eine unzulässige Installationvon Software für die Lokalisierung von Mobilfunkteilnehmernverhindert bzw. aufgezeigthätte. Der Bericht enthieltauch Erläuterungen zum Identity and Access Management für interne und externe User bei der MittoAG. Auch hier wurden keine Auffälligkeitenfestgestellt.

4.

In einervirtuellenBesprechungam 13. Dezember 2022 zwischen Vertreterinnendes EDÖB, der Mitto AG und ihrer Rechtsvertretung wurden gewisse zusätzliche Erläuterungen zum Bericht abgegeben.

-- 2 of 3 --

Würdigung Gemäss dem Bundesgesetz über den Datenschutz(DSG, SR 235.1) dürfen DatenbearbeiterPersonendaten nur rechtmässig und unter Einhaltungder allgemeinen Bearbeitungsgrundsätze bearbeiten (Art. 4 DSG). Sie haben dabei die Pflicht. die Daten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten, beispielsweise unberechtigteZugriffe, zu schützen. Der EDÖB hat angesichts der geschildertenVorkommnisse in einer Vorabklärung geprüft,ob es diesbezüglichzu Versäumnissen gekommen ist. Die Mitto AG ist dabei den Begehren des EDOB in allen Belangen nachgekommen So hat sie im Rahmen des Schriftenwechsels Nachweise zu den organisatorischen Rahmenbedingungen des Systembetriebs erbracht. Sie hat im Weiteren erläutert, mitwelchen Massnahmen sie unerwünschte bzw. unerlaubteÄnderungen an der Software ihrer Systeme verhindert bzw. aufdecken kann. Die Auswertung der vorhandenen Protokollierungsdatenerlaubte Aussagen zu Zugriffen auf die Systeme Sowohl die Prüfung der Regeln für Software-Änderungen als auch die Auswertung der Zugriffe auf die Systeme haben gemäss den Angaben der MittoAG keine Hinweise ergeben, die eine missbräuchliche Verwendung der Systeme in der vorgeworfenen Weise nahelegen würden. Die MittoAG hat zudem mehrfach ausgeführt, dass es Mitarbeitenden gar nicht möglich sei – ohne eine Veränderung der Systeme bzw. der Software - einen Zugriff auf Lokalisierungsdaten von SMS-Empfängerinnen und Empfängern zu erlangen. Diese Aussage wird von den Erläuterungen der angefragten Mobilfunkanbietern gestützt. Eine unentdeckte bzw. unerlaubte Veränderung der Software schloss die MittoAG, gestützt auf den seit 2015 eingeführte Software Development Cycle. aus. Der EDÖB hat im Rahmen seiner ihm zur Verfügung stehenden Mittel die notwendigen und möglichen Prüfungenveranlasst. Anhand der dem EDÖB zur Verfügung stehendenAngaben ergeben sich keine Hinweise, die den Verdacht, dass es zu einer Verletzung von Datenschutzbestimmungen gekommen ist, bestätigen würden. Da es sich bei den Vorwürfen zum Fehlverhalten der MittoAG um technisch wenig spezifische Anschuldigungen handelt, hat der EDÖB seine Mittelvorderhand ausgeschöpft, ohne dass sich der Verdacht auf eine Verletzung von Datenschutzbestimmungen erhärtet hätte. Unter diesen Gesichtspunkten schliesst der EDÖB die Vorabklärung in Sachen MittoAG ab und verzichtet auf allfällige Empfehlungen. Freundliche Grüsse.-N. Adrian L Der Bea lftragte Beilage: Englische Übersetzung des deutschen Originalberichts -- 3 of 3 --