Ich habe eine E-Mail von Comparis mit Erläuterungen zum Cyber-Angriff vom 7. Juli 2021 erhalten. Ist diese Nachricht wirklich von Ihnen oder von Betrügern?
Comparis hat am 14. und 15. Juli eine Informationsmail an Comparis-User von der Adresse privacy@email.comparis.ch, noreply@email.comparis.ch oder noreply@email.optimatis.ch versendet.
Was ist passiert?
Die Comparis-Gruppe wurde am 7. Juli das Ziel eines organisierten Cyber-Angriffs, der mit hoher krimineller Energie durchgeführt worden ist. Comparis hat unverzüglich alle nötigen Schritte zum Schutz aller Daten ergriffen. Zum Beispiel wurden alle IT-Systeme sofort heruntergefahren, als sich der Angriff abzeichnete. Die Systeme wurden danach in einer sicheren Umgebung neu aufgesetzt.
Bei der sogenannten Ransomware-Attacke wurden verschiedene IT-Systeme der Comparis-Gruppe blockiert. Die Website comparis.ch ist inzwischen wieder normal verfügbar und abgesichert.
Wir haben Ende Juli eine Einigung mit den Erpressern gefunden. Durch die Einigung konnten wir einige für uns operativ essenzielle Dateien in einem Teilbereich entschlüsseln, die wir zum Teil gar nicht und zum Teil nur mit grossen Aufwänden und Zeit hätten wiederherstellen können.
Welche Daten sind betroffen?
Leider zeigen die Detailanalysen, dass die Täterschaft Zugang zu internen kundenbezogenen Daten der Comparis-Gruppe hatte und davon ausgegangen werden muss, dass gewisse Daten auch entwendet wurden.
Betroffen sind kundenbezogene Daten von Comparis-Accounts sowie Daten von Schwestergesellschaften von Comparis. Möglicherweise betroffene Kundinnen und Kunden werden direkt informiert. Passwörter sind gehasht gespeichert.
Welche Schutzmassnahmen wurden ergriffen?
Wir nehmen diese Angelegenheit sehr ernst. Wir haben unverzüglich alle nötigen Scrhitte zum Schutz aller Daten ergriffen. Zum Beispiel haben wir alle Systeme in einer sicheren Umgebung von Grund auf neu aufgebaut. Die Comparis-Gruppe hat zudem die Strafverfolgungsbehörden und den eidgenössischen Datenschutzbeauftragten eingeschaltet und arbeitet eng mit deren Cybercrime-Spezialistinnen und -Spezialisten zusammen. Es wurde Anzeige gegen unbekannt erstattet.
Aufgrund der Art des Angriffs können wir inzwischen davon ausgehen, dass dies keine gezielte Attacke auf Comparis war, sondern die Ausnutzung von einer weiter verbreiteten Schwachstelle. Wir haben mittlerweile den Zugangspunkt der Hacker identifizieren können. Dieser wurde direkt nach Entdeckung des Angriffs durch unsere Sicherungsmassnahmen geschlossen und ist dauerhaft abgesichert. Um das Risiko künftiger Angriffe zu reduzieren, werden wir unsere Sicherungsmassnahmen weiter ausbauen und erhöhen.
Was können Sie tun?
Haben Sie einen Account bei uns? Dann empfehlen wir Ihnen dringend, Ihr Passwort als Vorsichtsmassnahme zu ändern.
Falls Ihre Daten betroffen sind, können wir leider nicht ausschliessen, dass diese von Dritten für kommerzielle oder betrügerische Zwecke verwendet werden. Eine Übersicht von der Kantonspolizei Zürich gibt es hier. Wir empfehlen Ihnen, grundsätzlich äusserst vorsichtig zu sein, vor allem falls Sie von unbekannten Dritten kontaktiert werden sollten, die sich z.B. als Bank- oder Versicherungsmitarbeitende ausgeben und über gewisse Informationen von Ihnen verfügen. Bitte melden Sie uns solche Vorkommnisse, damit wir diese den Ermittlungsbehörden zur Verfügung stellen können.
Ich kann das Passwort nicht ändern. Was muss ich tun?
Falls Sie in der Vergangenheit nicht explizit einen Comparis-Account angelegt haben, haben Sie auch kein Passwort und können das dementsprechend nicht ändern. Wenn Sie nach dem Passwort-Reset kein Mail erhalten haben (auch nicht im Spam-Folder), können Sie davon ausgehen, dass Sie bei uns keinen Account haben. Wichtig: Als Nutzer können Sie auch ohne einen Account den Newsletter oder ein Suchabo abonniert haben. Das heisst, die Löschung eines Accounts hat nicht zwingend zur Folge, dass Sie keinen Newsletter oder keine E-Mails zu gesuchten Objekten mehr erhalten.
Ich habe einen Anruf eines Callcenter-Mitarbeitenden erhalten, der mir mitteilt, dass ich von der Datenaffäre betroffen bin und sie mich beraten wollen. Sind das die Betrüger? Und was soll ich tun?
Die Hacker-Attacke wird von Trittbrettfahrern genutzt. Sie rufen ungezielt Personen an. Gehen Sie auf keinen Fall auf jedwelche Angebote ein und melden Sie die Vorfälle an cybercrimepolice.ch. Wir gehen derzeit davon aus, dass diese Anrufe ungezielt sind und nichts mit einem allfälligen Datendiebstahl zu tun haben.
Ich wurde von einem angeblichen Versicherungsvertreter kontaktiert. Er wusste genau, bei welcher Krankenkasse ich bin und hatte meine Daten. Besteht ein Zusammenhang mit der Comparis Cyber-Attacke?
Die Hacker-Attacke wird von Trittbrettfahrern genutzt. Unseriöse Broker besitzen teilweise alte Adresslisten von früheren Kontaktversuchen. Diese Broker versuchen, die Verunsicherung der aktuellen Situation für sich auszunutzen. Die Handy-Nummern sind dabei oft ebenfalls gefälscht und nicht zurückzuverfolgen. Wir empfehlen Ihnen, diese Versuche zu ignorieren und die Telefonnummer zu blockieren.
Weshalb haben Sie meine Daten noch gespeichert?
In unseren Kernsystemen für das Marketing und zur Verwaltung der Kundendaten – wie etwa unsere Customer Relationship Management-Anwendung (CRM) – werden ältere Emailadressen im Rahmen der Datenschutzbestimmungen regelmässig deaktiviert, anonymisiert oder gelöscht. Die Angreifer hatten keinen Zugriff auf diese Systeme.
Darüber hinaus gibt es aber noch Datenverzeichnisse, auf welchen u.a. technische Daten teils länger gespeichert bleiben (z.B. bestimmte Protokolle), die eben auch Mailadressen gewisser Benutzer enthalten können. Diese werden nicht für Werbezwecke verwendet und auf diese haben Marketing oder Kundendienst keinen Zugang mehr. Im Rahmen der Detailanalysen wurde festgestellt, dass die Angreifer Zugriff auf diese Laufwerke gehabt haben können. Wir können aktuell nicht abschätzen, ob und welche Daten davon entwendet wurden.
Um vorsichtig zu sein, haben wir uns im Sinne der Transparenz daher entschieden, möglichst viele Personen zu informieren, auch wenn die meisten User davon vermutlich nicht betroffen sein werden. In Anbetracht dieser aussergewöhnlichen Situation haben wir auch alte, an sich inaktive und nicht mehr benutzte Emailadressen reaktiviert und in einen separaten Bereich unseres Marketingsystems geladen. Damit konnten wir die Info-Mail zur Warnung verschicken. Selbstverständlich wurden diese Daten nach der aktuellen Kommunikation umgehend gelöscht. Wir sind ohnehin schon seit einiger Zeit daran, die Löschung von Daten noch restriktiver zu handhaben, was aber nicht schnell realisierbare Anpassungen der über die Jahre gewachsenen Systeme erfordert. In diesem Fall kam uns der Umstand, dass die alten Mailadressen zwar ausser Dienst waren, aber für den vorliegenden Notfall reaktiviert werden konnten, zu Hilfe (sie wäre mit dem Abschluss der laufenden Anpassungen nicht mehr möglich). Wir kamen zum Schluss, dass uns die Warnung der Benutzer wichtiger ist als etwaige Fragen, welche die Nutzung dieser alten Mail-Adressen aufwirft.
Wie können Sie uns erreichen?
Comparis:
Telefon: +41 44 360 52 62 (Mo-Fr, 8-12 Uhr / 13-17 Uhr)
E-Mail: info@comparis.ch
Aufgrund der aktuell noch immer eingeschränkten telefonischen Verfügbarkeit hat Comparis vorübergehend folgende Mobile-Nummern bereitgestellt:
+41 77 954 66 31
+41 78 641 50 77 (jeweils Mo-Fr, 8-12 Uhr / 13-17 Uhr)
Credaris:
Telefon: +41 44 556 60 00 (Mo-Fr, 9-18 Uhr)
E-Mail: info@credaris.ch
Optimatis:
Telefon (Mo-Fr, 8-12 Uhr / 13:30-17:30 Uhr):
+41 78 204 27 86 (DE/EN)
+41 78 209 33 24 (DE)
+41 78 202 89 96 (DE/EN)
+41 78 204 11 29 (DE/FR)
E-Mail: info@optimatis.ch
Hypoplus:
Telefon: + 41 44 500 71 61 (Mo-Fr, 8-18 Uhr)
E-Mail: info@hypoplus.ch