14.12.2022 - Cyberangriff auf Infopro AG

14.12.2022 - Mit der laufenden Vorabklärung verfolgt der EDÖB das Ziel, die unter hohem Zeitdruck ablaufenden Arbeiten zur Wiedererlangung der Kontrolle über kompromittierte Kundendaten aufsichtsrechtlich zu begleiten und so auf die korrekte Wahrnehmung der datenschutzrechtlichen Informationspflichten hinzuwirken.

Seit Bekanntwerden des folgenschweren Cyberangriffs auf die Infopro AG, die unter anderem Personendaten im Auftrag der Firma Winbiz bearbeitet hat, steht der EDÖB mit den Verantwortlichen von Infopro, dem Nationalen Zentrum für Cybersicherheit (NCSC) und den kantonalen Datenschutzbehörden in Kontakt. 

In diesem Zusammenhang gingen beim EDÖB Anfragen von Geschäftskunden der Infopro AG zu diesem Sachverhalt ein, die er laufend beantwortet. Soweit Personendaten betroffen sind, hat der EDÖB diese Geschäftskunden auf ihre datenschutzrechtlichen Informations- und schadensminderungspflichten hingewiesen und festgestellt, dass die betroffenen Unternehmen bemüht sind, diese Verpflichtungen unter dem herrschenden Zeitdruck wahrzunehmen.

Seit dieser Woche hat der EDÖB auch Anfragen von Geschäftskunden der Firma Fiducial Winbiz SA erhalten, da sie nicht mehr auf ihre Daten zugreifen können, die von Winbiz auf den vom Cyberangriff betroffenen Servern der Infopro gespeichert wurden. Nachdem der EDÖB zudem am 13.12.2022 durch einen Anzeiger mit Hinweisen konfrontiert wurde, wonach Geschäftskunden der Fiducial Winbiz SA auf Daten anderer Winbiz-Kunden Zugriff erhalten haben sollen, hat er der Firma Fiducial Winbiz SA heute einen Fragenkatalog zugestellt und sie aufgefordert, im Rahmen der laufenden Vorabklärungen innert kurzer Frist u.a. zur angezeigten Verletzung der Zugriffsbeschränkungen Stellung zu nehmen.