Unbefugter Zugriff auf Daten: SWISS schließt Sicherheitslücke und zieht Konsequenzen

International

Aufgrund eines internen Fehlers waren sensible Daten aus Assessments für Piloten während rund zwei Monaten versehentlich zugänglich – auch für Unberechtigte.

Ein Mitarbeiter meldete den Vorfall; SWISS sperrte den Zugriff umgehend. Spezialisten schlossen die Lücke und setzten zusätzliche Schutzmaßnahmen um. Andere Personendaten, etwa von Passagieren oder Daten von anderen Mitarbeitenden, waren nicht betroffen. SWISS bedauert diese Datenpanne sehr und prüft nun Prozesse, welche sensible Daten zusätzlich schützen sollen.

Am 1. August wurde Swiss International Air Lines (SWISS) von einem Mitarbeiter informiert, dass sensible Personaldaten aus den Assessments für Piloten über einen Zeitraum von rund zwei Monaten für eine größere Gruppe von internen und einen eingeschränkten Kreis von Personen von Partnerfirmen zugänglich waren. Grund dafür war ein Fehler in der Berechtigungseinstellung der Datenablage (SharePoint). Ein Hackerangriff lag nicht vor.

Betroffen waren persönliche Informationen von Pilotinnen und Piloten, die sich in der Vergangenheit bei SWISS in einem Auswahlverfahren befanden – teils auch von externen Personen, für die SWISS im Auftrag Assessments durchgeführt hatte. Es handelt sich um Bewerbungsunterlagen, Testergebnisse und Gutachten. Rund 70 Zugriffe auf die Daten fanden statt. Die relevanten Personen, welche auf die Daten zugegriffen haben, wurden kontaktiert und auf die Sensibilität der Daten hingewiesen. Sie haben sich verpflichtet, die Daten umgehend zu löschen und nicht weiterzugeben, sollten sie sie heruntergeladen haben.

Keine Passagierdaten betroffen – Daten umgehend migriert und geschützt

Weitere Personendaten wie Passagierdaten oder Daten anderer Mitarbeitenden waren zu keinem Zeitpunkt gefährdet. SWISS hat den Anspruch, mit vertraulichen Daten sehr sorgsam umzugehen und sie mit allen Mitteln zu schützen. Dass dieser Fehler passiert ist, bedauern wir sehr.

Der Fehler in den Einstellungen der Datenablage unterlief einem Mitarbeitenden und war ein menschliches Versehen. Trotzdem liegt die Verantwortung bei SWISS als Unternehmen. Wir nehmen diese Verantwortung ernst und haben umgehend gehandelt.

Die Sicherheitslücke wurde sofort geschlossen, als SWISS vom Problem erfahren hat. Die Daten wurden auf eine andere, sichere Plattform verschoben, verschlüsselt und mit zusätzlichen Schutzmaßnahmen versehen. Sie sind seit dem 1. August nicht mehr für Unberechtigte einsehbar. Unsere betroffenen Mitarbeitenden haben wir transparent informiert. Auch die Datenschutzbehörden sowie die Partnerorganisationen, für die SWISS Assessments vorgenommen hatte, haben wir zeitnah benachrichtigt.

In den vergangenen Tagen haben wir den Vorfall genau analysiert und leiten daraus konkrete Maßnahmen ab, um solche Fehler künftig zu vermeiden. Für Fragen stehen wir den betroffenen Mitarbeitenden und Partnern selbstverständlich zur Verfügung. Wir bedauern diesen Vorfall sehr – und tun alles dafür, dass sich so etwas nicht wiederholt.