Inhaltsverzeichnis
Datenleck bei Schweizer Stiftung Radix: Intime Informationen von Spielsüchtigen im Darknet
Die Schweizer Stiftung Radix, Betreiberin des Zentrums für Spielsucht und andere Verhaltenssüchte, ist Opfer eines groß angelegten Cyberangriffs durch die Hackergruppe „Sarcoma“ geworden. Ziel der Angreifer war es, die Organisation zu erpressen – andernfalls drohten sie mit der Veröffentlichung der gestohlenen Daten.
Ein folgenschwerer Hackerangriff
Wie Recherchen von SRF Data zeigen, wurden daraufhin 1,3 Terabyte an sensiblen Informationen im Darknet veröffentlicht. Es handelt sich um eines der größten Datenlecks im Gesundheitswesen der Schweiz.
Betroffen sind über 1300 Personen, die sich aufgrund einer freiwilligen oder verfügten Casinosperre in Beratung bei Radix befanden.
Umfang und Brisanz der veröffentlichten Daten
Die gestohlenen Daten enthalten äußerst sensible Informationen:
- Namen, Adressen, Berufe, Einkommen
- Schulden, Betreibungen, Kleinkredite
- Lohnauszüge und Kontoinformationen
- Protokolle von Einzel- und Gruppengesprächen
- Intime Therapieinhalte
Beispielhafte Notizen aus den Akten:
„Kontrollverlust, über 30 Einzahlungen im Onlinecasino in 5 Tagen“
„Hat 10 Betreibungen, Konto im Minus“
„Kleinkredit, kleines Kind zu Hause“
Auch Gesprächsprotokolle enthalten brisante Details, etwa über Trennungen, Gewaltvorfälle oder Aufenthalte im Frauenhaus. So heißt es in einem Fall:
„Frau X. kann sich gut einbringen. Inzwischen von Partner getrennt, nachdem er sie bedroht hat. Polizei. Mit 10-monatigem Baby ins Frauenhaus geflüchtet.“
Kritik an der Informationspolitik
Zwar behauptet Radix, man habe alle Betroffenen „vorab per E-Mail, SMS oder Briefpost informiert“. Doch viele meldeten sich nach Recherchen von SRF schockiert – sie hatten erst durch Journalisten vom Vorfall erfahren. Einige E-Mails landeten im Spam-Ordner, Briefe wurden nicht verstanden oder nicht zugeordnet.
Ein Betroffener sagte:
„Ich habe zum ersten Mal von SRF gehört, dass meine Daten gehackt wurden.“
Ein anderer forderte:
„In einem solchen Fall sollte die Information der betroffenen Personen höchste Priorität haben.“
Die Datenschutzbeauftragte des Kantons Zürich, Dominika Blonski, kritisierte:
„Die Information muss so erfolgen, dass die Betroffenen sie auch verstehen.“
Radix rechtfertigte das Vorgehen mit Datenschutzbedenken – in den Schreiben wurde bewusst nicht erwähnt, weshalb jemand kontaktiert wurde. Das habe Rückschlüsse durch Dritte vermeiden sollen, sei aber offenbar kommunikativ misslungen.
Besonders gefährdete Gruppen
Zu den Betroffenen zählen nicht nur Spielsüchtige aus verschiedenen Altersgruppen, sondern auch Personen in heiklen Berufsgruppen – darunter Polizisten, Armeeangehörige und Behördenmitarbeiter mit potenziell hoher Erpressbarkeit.
Bemerkenswert ist auch der Fall eines Milliardärs aus dem Nahen Osten, der fälschlich von Swiss Casinos Zürich gesperrt wurde. Erst nach Prüfung seiner Bankunterlagen wurde er wieder zum Spiel zugelassen. In einem internen Schreiben hieß es:
„Leider haben wir in diesem Fall einen großen Fisch gesperrt.“
Sicherheitsdefizite bei Radix
Fachleute und IT-Forensiker kritisierten massive Versäumnisse im Bereich der Datensicherheit:
- Klartext-Passwörter wurden in Word-Dokumenten gespeichert.
- Besonders schützenswerte Gesundheitsdaten wurden nicht zusätzlich verschlüsselt.
- Die riesige Datenmenge konnte ohne Alarmierung abfließen – Hinweis auf ungenügendes Monitoring.
Radix räumte ein, dass sich in der Datenablage eine Datei mit internen Passwörtern befand. Diese wurde nachträglich gelöscht, alle Passwörter geändert.
Die Angreifer nutzten offenbar eine Zero-Day-Lücke und kompromittierten ein Endgerät eines Mitarbeiters. Laut Radix war die Infrastruktur durch ein mehrstufiges Sicherheitskonzept geschützt, das durch die unbekannte Schwachstelle umgangen wurde.
Konsequenzen und technische Aufarbeitung
In Reaktion auf den Vorfall hat Radix umfassende Maßnahmen eingeleitet:
- Neuaufbau der gesamten IT-Infrastruktur mit Penetration-Testing
- Trennung sensibler Daten
- Neue Archivierungs- und Löschfristen
- Erweiterte Zugriffsbeschränkungen
- Verstärkte Schulungen und Sensibilisierung der Mitarbeitenden
- Einrichtung einer Meldestelle für Betroffene
Radix erklärte:
„Wir bedauern außerordentlich, dass durch diesen Vorfall persönliche Daten in unbefugte Hände gelangt sind. Unser Mitgefühl gilt den betroffenen Personen.“
Reaktion von Swiss Casinos
Auch der Partner Swiss Casinos, der eng mit Radix im Bereich Spielerschutz zusammenarbeitet, äußerte sich bestürzt:
„Der Schutz der persönlichen Daten unserer Gäste hat für Swiss Casinos höchste Priorität.“
Laut dem Verband betrifft das Leck ausschließlich Personen, die seit 2019 einen Antrag auf Aufhebung ihrer Spielsperre gestellt haben. Man habe Radix bei der Benachrichtigung der Betroffenen unterstützt und werde auch künftig eng zusammenarbeiten.
Der Vorfall offenbart gravierende Schwächen im Datenschutz und in der Krisenkommunikation einer zentralen Institution im Schweizer Gesundheitswesen. Während Radix nun bemüht ist, Vertrauen wiederherzustellen, bleibt für viele Betroffene ein Gefühl von Unsicherheit, Kontrollverlust und Vertrauensbruch.
Quellen:
Bildquelle: