Telefonmissbrauch im grossen Stil

Die Firma X AG sieht sich mit einem massiven Missbrauch ihrer Telefonanlage konfrontiert. Unbefugte scheinen sich technisch Zugang zum Firmentelefonsystem verschafft und verursachten mit Anrufen ins Ausland einen Schaden von rund CHF 50'000. X AG hat umfassende Abklärungen zur Sicherheit ihres Telefonsystems getätigt und kam zum Schluss, dass die Sicherheitslücke beim Fernmeldedienstanbieter zu suchen ist. Das Unternehmen erwartet, dass der Telekom-Anbieter für den finanziellen Schaden aufkommt.

SCHLICHTUNGSVORSCHLAG

Mit Eingabe vom 11. März 2011 hat X AG, vertreten durch den Verwaltungsratspräsidenten Y, ein Begehren um Durchführung eines Schlichtungsverfahrens eingereicht. Wir haben diese Eingabe samt allen dazu übermittelten Dokumenten studiert und eine Stellungnahme vom betroffenen Anbieter angefordert. Nach Prüfung dieser Stellungnahme und der Eingabe können wir nun einen Schlichtungsvorschlag unterbreiten.

Der vorliegende Schlichtungsvorschlag berücksichtigt sowohl einzelne Argumente des Kunden als auch einzelne Argumente der Anbieter. Rechtliche Erörterungen werden - soweit notwendig - ebenfalls miteinbezogen. Im Rahmen dieses Schlichtungsverfahrens werden nur die wesentlichen Punkte des Schlichtungsbegehrens und der Stellungnahme der Anbieter berücksichtigt. Der Ombudsmann kann die Argumente der Parteien nicht wie in einem Gerichtsverfahren überprüfen.

1. AUSFÜHRUNGEN IM SCHLICHTUNGSBEGEHREN

Dem Schlichtungsbegehren von X AG, vertreten durch Y, wird Folgendes entnommen:

“Ende Februar 2009 (Kosten: 17'949.25 / Dauer: 228 Stunden 15 Minuten) und anfangs März 2009 (Kosten: 36'991.30 / Dauer: 472 Stunden 58 Minuten) wurde via unsere Telefonanlage nach TT und RR telefoniert. Für Z war es offensichtlich, dass unserer TVA gehackt wurde. Im Frühjahr 2009 fand ein erstes Gespräch statt betr. "vernünftige Lösung" in dieser Sache. Teilgenommen haben Herr A (Geschäftsführer Z), Herr B (Verkauf Z), Herrn C und D (Elektrofirma - Installateur) sowie Herr RA E und ich.

Mein Vorschlag lautete: Z verzichtet auf ihre Gewinnmarge (Einkauf erfolgt von Z bei Anbieter W (Aussage Herr A), Z schaut ob W ebenfalls verzichtet und vom restlichen Betrag übernehmen wir, sowie Z wie die Elektrofirma je 1/3.

Herr A hat mir später mitgeteilt, dass W auf ihre Marge nicht verzichten will, und das Z betr. meinem Vorschlag wieder auf uns zukommen will.

Dies ist bis zum September 2010 (also über 12 Monate später) nicht geschehen. Am 29. September 2010 erhalte ich per E-mail eine Abschaltungsanzeige. Ich habe sofort mit Herrn F (Z - Credit Manager) telefoniert und ihm mitgeteilt, dass ich seit Frühjahr 2009 seitens Z nichts mehr gehört habe.

Nach diesem Telefonat wurde ich von verschiedenen Personen seitens Z kontaktiert und es fanden sowohl Meetings wie auch Telefonate statt. Z wollte, dass ich für neue Business Centers neue Verträge (Dienstleistungen z.B. Internet, Telekommunikation) abschliesse und auch noch Hardware (TVA) beziehen soll. Es wurde mir dann auch ein Letter of Intend vorgelegt - dies erfolgte am 19. Januar 2011. Nachdem ich die Offerten (Dienstleistungen) und TVA geprüft hatte, musste ich gegenüber Z mitteilen, dass ich diese nicht annehmen kann. Dies erfolgte am Mittwoch, den 2. März 2011. Am 3. März 2011 habe ich dies auch noch per E-mail bestätigt. In diesem Mail habe ich nochmals auf meine Bereitschaft betr. aussergerichtlichen Einigung festgehalten.

Am Donnerstag, 3. März, habe ich dann gegen 16 Uhr erneut eine Abschaltungsanzeige erhalten. Darin droht man mir mit der Abschaltung per 15. März 2011. Auf unsere Fragen (Margen, Daten, etc.) wird nicht eingegangen. Z stellt sich auf folgenden Standpunkt:

"In der juristischen Ableitung dieses Sachverhaltes ist Ihre Frage nach Schadenshöhe und Margenhintergründe deshalb wenig dienlich. In der Beziehung zwischen der X AG und der Z geht es nicht um einen Schaden oder dessen Nachweis, sondern lediglich um die Einforderung einer erbrachten Dienstleistung im Umfang von CHF 54‘940.55 vom April bzw. Mai 2009."

Somit bedeutet dies für mich, entweder ich zahle oder es wird gesperrt! Und Z will auf diesem Betrug sogar noch einen Gewinn machen.

Ziel:

  1. Leitungen sollen nicht gesperrt werden
  2. Z verzichtet auf die Gewinnmarge
  3. Gespräch mit W - Verzicht auf Gewinnmarge
  4. Aufteilung der Kosten durch den Betrug

Dies entspricht meinem Vorschlag aus dem Jahre 2009 - also vor rund 2 Jahren gemacht.”

2. STELLUNGNAHME DES ANBIETERS

Der Stellungnahme von Z AG wird Folgendes entnommen:

“Wie bereits aus der vom Kunden übermittelten Vorkorrespondenz ersichtlich, wurde die Telefonanlage des Kunden "gehackt" und missbräuchlich verwendet, um Verbindungen zu Auslandsdestinationen zu generieren. Wie bereits früher festgehalten, ist Z Erbringer von Daten-/Voice-Serviceleistungen, welche reine Vermittlungs- und Transportfunktion beinhalten und bei der Schnittstelle zum kundeneigenen Telefonsystem des Kunden endet. Wie es scheint wurde der Kunde Opfer eines Hackerangriff, welcher auf der proprietären Telefonvermittlungsanlage des Kunden statt gefunden hatte.

Unsere Leistung endet am Netzwerkabschlusspunkt (also an der "Telefonkabeldose" des Kunden. Was "hinter" diesem Punkt geschieht, liegt jenseits unserer Kontrolle und folglich auch Verantwortung. Aus unserer Sicht wurde die Telefonanlage des Kunden "gehackt" und auf diese Weise die in Rede stehenden Kosten generiert. Dies ist der Einflusssphäre des Kunden zuzurechnen. So verweist auch Punkt 7.1 (e) unserer AGB, welche im gegenständlichen Fall die Vertragsgrundlage darstellen, auf die Verpflichtung des Kunden hin, das "Netzwerk und die IT Infrastruktur gemäss den anerkannten Regeln (zu) konfigurieren und anzuschließen, um das Risiko, Ziel oder Quelle von Angriffen zu werden, zu minimieren. Im Ergebnis hat sich herausgestellt, dass der Kunde dieser Verpflichtung nicht in ausreichendem Maße nachgekommen ist. Um unserer Kundenbeziehung gerecht zu werden, haben wir bereits im Laufe der Verhandlungen und kurz vor Eröffnung des Schlichtungsverfahrens ein Angebot auf Verzicht von 10% unserer Forderungen unterbreitet, welches unkommentiert blieb.

Noch ein Wort zu den entstandenen Kosten: Da es sich um Telefonverbindungen zu Auslanddestinationen handelte, ist eine ganze Kette von Netzbetreibern in die Zustellung der Gespräche an die Destination involviert gewesen. Diese Konstellation wurde scheinbar gezielt ausgenutzt. Um den Sachverhalt zufriedenstellend auflösen zu können, müsste man "den Beginn der Kette" (unser Kunde) mit "dem Ende der Kette" (dem Nummerninhaber an der Destination) zusammen bringen: die an der Transportleistung beteiligten Netzbetreiber "in der Mitte der Kette" sind lediglich als Transporteure beteiligt. Somit ist also auch unser "Nachbar" in der Kette in keiner Weise an einem im Raum stehenden Betrug beteiligt: er hat seine Leistung - gleich wie Z - erbracht und möchte das Entgelt dafür erhalten. Wir halten ein Aufrollen dieser Kette für faktisch unmöglich - einzig erfolgversprechend erschiene der Ansatz, über den Zielnetzbetreiber den Inhaber der Rufnummer zum in Rede stehenden Zeitpunkt ausfindig zu machen und gegen diesen direkt vorzugehen; allerdings erscheint auch dieser Weg mit faktischen Hindernissen belegt zu sein.”

3. ERGEBNIS DES SCHRIFTENWECHSELS

Die Stellungnahme von Z wurde der X AG zugestellt. Diese reagierte wie folgt darauf:

“Wir sind mit den Ausführungen in der Stellungnahme von Z nicht einverstanden. Inzwischen haben wir auch einige Abklärungen mit unserem damaligen Installateur, der S AG vorgenommen, die unsere Auffassung bestätigen.

  1. Technische Beurteilung:

Aufgrund der Auskünfte der S AG steht fest, dass der Hackerangriff über die in der Verantwortung von Z stehende Leitung erfolgte.

Entgegen der Vermutungen von Z hat uns die S AG bestätigt,

  • dass die Telefonanlage nie mit dem Internet verbunden war;
  • eine Fernwartung ausschliesslich über ISDN erfolgte,
  • dafür das Passwort geändert wurde und
  • kein Fernzugriff via Fernwartung festgestellt wurde.
  1. Zusammenarbeit betreffend Aufklärung:

In den letzten zwei Jahren hat Z uns bei der Aufklärung nie unterstützt. Herr A - noch Geschäftsführer Z - hat uns im Sommer 2009 zwar einige Listen mit Telefonnummern gezeigt, diese jedoch wieder mit sich genommen, mit der Begründung Datenschutz. Auf unsere Fragen betreffend der mitbetroffenen Carrier wurde uns mündlich mitgeteilt, dass W mit involviert sei. Schriftlich haben wir von Z aber nie mehr Informationen erhalten als erneut in der Stellungnahme an ombudscom enthalten sind. Auch konnte man in den letzten Tagen via Medien erfahren, dass Herr A ab 1. Juli 2011 den Bereich "HH" bei W leiten wird. Ob dies für Herrn A einen Interessenkonflikt darstellt?

Dies befremdet sehr, da uns deswegen auch für eine eigene Aufklärung die Hände gebunden waren und immer noch sind.

  1. Verhalten Z / Fragen an Z / allfällige Strafanzeige:

Bei diesem Verhalten entsteht bei uns unweigerlich das ungute Gefühl, dass Z etwas zu verheimlichen hat. Um den effektiven Sachverhalt aufklären zu können, möchten wir, dass Z folgende Fragen beantwortet:

  1. Welche Anstrengungen hat Z unternommen, um die missbräuchliche Nutzung von Leitungen von Kunden aufzuklären?
  2. Welche Systeme und Abkommen hat Z mit anderen Providern, um missbräuchliches Nutzen ihrer Infrastruktur nachzuverfolgen?

  3. Wie sehen die Stellungnahmen der mitbetroffenen Carrier aus, welche Z für diesen Fall sicherlich kontaktiert hat?

  4. Welche Carrier sind mitbetroffen?

  5. Welche Carrier musste Z bezahlen?

Uns fehlt der Beweis, dass Z wirklich andere Carrier bezahlen musste. Es kann durchaus sein, dass Z von uns den Betrag einfordert, obwohl Z gar nichts oder viel weniger bezahlt hat. Deshalb stellt sich die Frage, wieso Z uns keine Auskünfte erteilt - siehe auch Antwort von Herrn H. am Mittwoch, 9. März 2011, an unseren Anwalt, Herrn Dr. K:

"In der juristischen Ableitung dieses Sachverhaltes ist Ihre Frage nach Schadenshöhe und Margenhintergründe deshalb wenig dienlich. In der Beziehung zwischen der X AG und der Z geht es nicht um einen Schaden oder dessen Nachweis, sondern lediglich um die Einforderung einer erbrachten Dienstleistung im Umfang von CHF 54'940.55 vom April bzw. Mai 2009".

Wir weisen ausdrücklich darauf hin, dass es sich in dieser Sache sehr wohl um einen Schaden handelt, welcher durch einen Hackerangriff entstanden ist, der via "Z Leitungen" stattgefunden hat. Aus diesem Grund möchten wir vollumfängliche Einsicht in die entsprechenden Unterlagen bei Z erhalten. Es kann doch nicht angehen, dass wir Kosten bezahlen, welche uns von Z nicht nachgewiesen werden. Bis anhin haben wir auf eine allfällige Strafanzeige verzichtet, doch sehen wir wegen der fehlenden Bereitschaft seitens Z bald keine andere Möglichkeit mehr.

Z hat in den letzten zwei Jahren nie erkennen lassen, dass sie uns bei der Aufklärung unterstützen möchte. Ein Entgegenkommen wurde uns signalisiert, jedoch nur, wenn wir bei Z weitere Produkte (Telefonanlagen TVA) und/oder Dienstleistungen einkaufen würden. Wie bereits geschrieben, war die angebotene TVA nicht mit unseren anderen Systemen kompatibel, die uns angebotenen Dienstleistungen waren überdimensioniert und entsprechend zu teuer (Internetleitungen).

Obwohl Z in ihrer Stellungnahme auf "Verhandlungen" verweist, können diese Gespräche in keiner Art und Weise als "Verhandlungen" eingestuft werden. Nachdem wir klar kommuniziert haben, dass wir keine Produkte (TVA) und keine weiteren Dienstleistungen (Internet) bei Z beziehen können und wollen, wurde uns sofort mitgeteilt, dass uns innert 10 Tagen die Leitungen gesperrt würden. Das Angebot eines "Rabattes" von 10 % wurde uns erst nach der Androhung der Leitungssperrung unterbreitet. Es ist doch klar, dass wir ein solches Angebot nicht akzeptieren können, wenn auf all unsere Fragen nie geantwortet wurde. Wir möchten endlich Fakten und Dokumente einsehen können.

  1. Kündigung auf den 30. Juni 2011:

Zwischenzeitlich haben wir von Z die Kündigungsbestätigungen für sämtliche Telefonleitungen und Nummernblöcke auf den 30. Juni 2011 erhalten.

  1. Schlussbemerkung:

Z ist offenbar nicht ernstlich an einer einvernehmlichen Lösung interessiert. Wir erwarten, dass unsere Fragen von Z endlich beantwortet werden. Ebenfalls erwarten wir, dass uns die entsprechenden Dokumente offengelegt werden. Im Übrigen halten wir an unserem Schreiben vom 10. März 2011 fest.”

Diese Stellungnahme wurde der Z ein letztes Mal zugestellt, welche daraufhin Folgendes festhielt:

“Gleich zu Beginn möchten wir unserem Befremden Ausdruck verleihen: die Ausführungen der Gegenseite scheinen nunmehr doch den Boden der sachlichen Argumentation verlassen haben. Es steht uns nicht zu, die Gründe hierfür zu kommentieren, ersuchen aber auch um Verständnis dafür, dass wir Teile der Stellungnahme unkommentiert lassen. Klarstellend halten wir zu Beginn fest, dass wir jedwede Unterstellung, wir würden uns in irgendeiner Form an der Antragstellerin unrechtmäßig bereichern, auf das Entschiedenste zurückzuweisen haben. Weiter möchten wir klar stellen, dass wir gewillt und entschlossen sind, gegen jegliche Äußerung, welche geeignet ist, uns die Beteiligung an oder gar die Herbeiführung einer kriminellen Handlungen zu unterstellen, vehement zu bekämpfen und auf deren Unterlassung bestehen werden. Dies vorausgeschickt nehmen wir an der Angelegenheit an sich Stellung wie folgt:

  1. Technische Beurteilung:

Abermals sei an dieser Stelle gesagt: Leistungsgegenständlich war die Erbringung von Telefoniediensten. Diese Leistungen erbringen wir über unser Netzwerk und übergeben sie am Netzabschlusspunkt an unseren Kunden - untechnisch gesprochen: an der "(Steck)Dose", in welche das Telefon oder - wie im gegenständlichen Fall - die Telefonanlage angeschlossen werden. Naturgemäß können wir nichts dazu sagen, was "hinter" diesem Netzabschlusspunkt geschieht: dies liegt ausschließlich im Ermessen und Verantwortungsbereich unseres Kunden.

Wir sind daher nicht in der Lage, unseren Kunden ganz generell und der Antragstellerin im speziellen mitzuteilen, was sich in ihrem (weil: jenseits der Grenzen unseres Netzes und damit außerhalb unserer Kontrollmöglichkeiten) Verantwortungsbereich zugetragen hat. Eine Untersuchung dazu, ob Unberechtigte auf die Telefonanlage entweder direkt (also: physisch) oder indirekt über unsere Leitungen zugegriffen haben, können wir nicht anstellen: dies einerseits (also im "direkten Fall"), weil jenseits unserer Kontrollmöglichkeiten und andererseits (also im "indirekten Fall") weil die Überwachung der übermittelten Signale über unser Netz nicht erlaubt ist und eine mit Strafte bedrohte Handlung darstellt.

Im Übrigen erscheinen uns die Informationen hinsichtlich der Ausführungen des von der Antragstellerin namhaft gemachten Installateurs (i) aus dem Zusammenhang gerissen, (ii) unverständlich und (iii) nicht relevant im gegenständlichen Zusammenhang.

  1. Zusammenarbeit betreffend Aufklärung

Abermals: unsere Möglichkeiten zur Tatsachenfeststellung sind begrenzt: wir können bestätigen, dass die Verbindungen abgesetzt wurden und zu Stande gekommen sind. Allerdings können wir nicht nachvollziehen, wer die Verbindungen aufgebaut oder entgegen genommen hat: das hat sich jeweils jenseits unserer Netzgrenzen (und damit: unseres Verantwortungsbereiches) abgespielt. Oder anders gesagt: die Lage der Tatsachen stellt uns Grenzen - dies kann uns aber nicht seriöser Weise als Verweigerung der Zusammenarbeit ausgelegt werden.

Wir begeben uns hier in den Bereich der Mutmaßungen, aber unweigerlich erhält man beim Studium der Stellungnahme der Antragstellerin den Eindruck, dass diese dem Irrtum unterliegt, uns würde eine Unmenge von Daten vorliegen und wir hätten lediglich auf einen "Knopf zu drücken" und die gewünschten Information wären verfügbar. Richtig ist vielmehr, dass Netzbetreibern durch nachvollziehbare und vernünftige Regelungen zur Aufrechterhaltung und Gewährleistung des Datenschutzes sehr enge Grenzen gesetzt sind, was überwacht und aufgezeichnet werden darf (zusätzlich zu den Grenzen des faktisch Möglichen: auf eine Telefonanlage des Kunden könnten - und: wollten - wir auch nicht "schauen" wenn uns das erlaubt wäre). Diese rechtlichen Grenzen in Kombination mit den faktischen Restriktionen sorgen für ein eingeschränktes Bild beim Netzbetreiber: wir sind zwar "Herr unseres Netzes", aber sobald eine Verbindung jenseits unserer Netzgrenzen angelangt ist, gibt es für uns weder Mittel noch Wege weitere Informationen zur betreffenden Verbindung zu generieren.

  1. Verhalten Z

Wir möchten uns an dieser Stelle nicht wiederholen, aber: wie bereits dargelegt sind uns faktische und rechtliche Grenzen gesetzt. Und mit allem Respekt vor der Gegenseite: wir haben unsere Leistungen an die Antragstellerin vertragsgemäß erbracht - diese haben wir in weiterer Folge auch vertragsgemäß verrechnet. Diesen Rechnungsbetrag versucht nun die Antragstellerin "zu reduzieren": bis zu einem gewissen Grad können wir Verständnis dafür aufbringen, dass die Antragstellerin über die Höhe der Rechnung erstaunt ist, andererseits wurden die Leistungen durch uns erbracht und folglich auch verrechnet - auch wir haben für diese Leistungen Rechnungen von Subunternehmern gelegt erhalten. Im Ergebnis führt das Vorbringen der Antragstellerin dazu, dass sie einen Teil ihres Schadens oder diesen zur Gänze auf unser Unternehmen abwälzen möchte: von der Intention her nachvollziehbar, allerdings durch keine Argumente oder Ansprüche belegbar: wir haben unsere Leistungen anstandslos und in Übereinstimmung mit dem geschlossenen Vertrag erbracht; die Gegenleistung dafür ist jedoch noch ausständig.

Zu den Fragen, welche die Antragstellerin beantwortet haben möchte:

  1. Welche Anstrengungen hat Z unternommen, um die missbräuchliche Nutzung von Leitungen von Kunden aufzuklären?

Z serviciert in der Schweiz eine Vielzahl von Kunden; einer dieser Kunden hat ein Problem hinsichtlich seiner Rechnung aufgezeigt. Es stellt sich nun die Frage, ob es Probleme mit den vom betreffenden Kunden verwendeten Einrichtungen und Anlagen gibt oder dem Netz des Anbieters im Ganzen: da dieses Ereignis einmalig beim Kunden auftrat, liegt für uns der Schluss mehr als nahe, dass das Problem nicht bei uns, sondern beim Kunden liegt. Eine missbräuchliche Nutzung unserer Leitungen schließen wir daher aus. Auch liegen keine Indizien oder sonstigen Verdachtsfälle vor.

  1. Welche Systeme und Abkommen hat Z mit anderen Providern, um missbräuchliches Nutzen ihrer Infrastruktur nachzuverfolgen?

Da eine missbräuchliche Nutzung unserer Infrastruktur bereits oben ausgeschlossen wurde, muss man an sich auf diese Fragestellung nicht näher eingehen; allerdings können wir in diesem Zusammenhang auf die einschlägigen (auch: behördenintern) bekannten Zusammenschaltungs- und Interkonnektionsvereinbarungen verweisen. Diese sehen sehr wohl derartige Mechanismen vor - allein schon aus dem offensichtlichen Grund: wenn die Infrastruktur eines Netzbetreibers "Opfer" einer Manipulation wird, ist es im Interesse aller Betreiber gelegen, derartige Manipulationen künftig zu unterbinden oder unmöglich zu machen. Im Übrigen verweisen wir auf unterschiedlichste ISO-Zertifizierungen (auch im Bereich der Netzwerksicherheit) und sonstige Kreditierungen unseres Unternehmens: wir sind ein im Geschäftskundenbereich europaweit führendes Unternehmen, welches an der Londoner Börse gelistet ist und folglich höchsten Sicherheitsstandards gerecht wird. Im Detail verweisen wir dazu auf www.xxx.ch Da im gegenständlichen Zusammenhang eine derartige Manipulation ausgeschlossen werden kann, ist auch nicht näher darauf einzugehen.

  1. Wie sehen die Stellungnahmen der mitbetroffenen Carrier aus, welche Z für diesen Fall sicherlich kontaktiert hat?

Ähnlich wie unsere obenstehenden Ausführungen.

  1. Welche Carrier sind mitbetroffen?

Dies ist nicht verfahrensgegenständlich.

  1. Welche Carrier musste Z bezahlen?

Siehe Antwort zu 4.

Und schließlich noch zur (unterbliebenen) Strafanzeige: sollte es nicht so sein, dass die unmittelbar Geschädigte den Weg zu den Strafverfolgungsbehörden anzutreten hat, da diese das "unmittelbarste Interesse" an der Aufklärung der Tat hat? Die beiden verbleibenden Punkte der Stellungnahme der Antragstellerin sind nicht geeignet, uns in der Aufklärung oder Lösung der Sache weiter zu bringen, sodass wir deren Kommentierung als entbehrlich ansehen.”

Somit kam im Schriftenwechsel unter den Parteien keine Einigung zustande und es ergehen die folgenden Überlegungen des Ombudsmanns:

4. ÜBERLEGUNGEN DES OMBUDSMANNS

Der Ombudsmann versteht den Ärger der X AG. Dem Unternehmen sind durch die vielen und langen Telefonverbindungen ins Ausland enorm hohe Kosten entstanden. Die Kundin kann diese Forderungen nicht anerkennen, da sie diese Verbindungen angeblich nicht tätigte und die Dienstleistung des Anbieters folglich auch nicht beanspruchte. Aus diesem Grund ist sie auch nicht bereit, die von Z dafür erhobenen Gesprächsgebühren zu bezahlen. Sowohl die Kundin, wie auch Z halten in ihren Stellungnahmen fest, dass die in Rede stehenden Nutzungsgebühren höchstwahrscheinlich von einen Dritten gezielt verursacht worden seien (Hackerangriff). Streitig bleibt die Frage nach der Verantwortlichkeit für die Sicherheitslücke, die unbekannten Dritten das Eindringen in das Telefonsystem ermöglichte um missbräuchliche Verbindungen zu tätigen.

Z AG weist darauf hin, dass ihre Leitungen an der Schnittstelle des kundeneigenen Telefonsystems enden und diese sicher sei. Sie begründet dies damit, dass ihr keine einziger vergleichbarer Fall bekannt sei, bei welchen Sicherheitsprobleme aufgetreten wären. Aus diesem Grund gehe sie davon aus, dass der Hackerangriff hinter ihrer Leitung direkt bei der Kundin vorgenommen worden ist. Was nach der Schnittstelle zum kundeneigenen Telefonsystem geschehe, liege einzig und alleine im Verantwortungsbereich der Kunden. Somit sei X AG auch für die entstandenen Kosten verantwortlich. Das Unternehmen weist darauf hin, dass sie alle nötigen Schritte unternommen habe, um ihr Telefonsystem abzusichern und zu schützen. Dies sei ihr auch durch einen unabhängigen IT-Spezialisten bestätigt worden. Aus diesem Grund sehe sie die Verantwortung für die Sicherheitslücke beim Anbieter und mache ihn für die entstandenen Kosten verantwortlich.

Der Ombudsmann möchte darauf hinweisen, dass die Schlichtungsstelle kein Gericht ist und somit weder Beweise erheben noch vertiefte technische Abklärungen betreffend der sich stellenden Sicherheitsfragen treffen kann. Somit dürften auch Einschätzungen zur Verantwortlichkeit nicht möglich sein. Die nachstehende Beurteilung des Ombudsmanns basiert vornehmlich auf den Sachverhaltsdarstellungen der Parteien.

A. Kundendienst der Z

a. Unerfüllte Versprechen

Der Ombudsmann stellt fest, dass es wohl nicht dem professionellen Selbstverständnis und den Ansprüchen (s. Internetauftritt) von Z entsprechen dürfte, wenn der Anbieter bei X AG über ein Jahr nicht kontaktiert, obwohl eine Rückmeldung nach den geführten Gespräche versprochen wurde. Die Kundin wurde mit seinem Problem und den hohen Kosten sich selbst überlassen. Obwohl sich X AG um eine einvernehmliche Lösung bemühte und die hohen Rechnungen beanstandete, wurde ihr mit der Sperre des Vermittlungsdienstes bei Nichtzahlung gedroht. Diese Vorgehensweise erscheint dem Ombudsmann unangemessen und kundenunfreundlich. Dies um so mehr, als Z im vorliegenden Fall darüber orientiert war, dass das Telefonsystem der Kundin von einem Hackerangriff betroffen war. Die berechtigten Erwartungen von Kunden nach einem solchen Vorfall gehen dahin, dass ein Anbieter bei solchen Vorkommnissen umgehend und bestmöglich mit seinen Kunden kooperiert und Bereitschaft zur Lösung der offenen Fragen zeigt. Soweit ersichtlich, konnte Z diese Erwartungen nicht erfüllen. Z hielt sich mit einer konstruktiven Lösung des Problems zurück und legte ihrer Kunden nicht dar, dass eine den Umständen angemessene und seriöse Ursachenforschung betrieben wurde. Der Kundin wurde von Z lediglich beschieden, ihr System sei gegen unbefugten Zugriff sicher.

Tritt bei Kunden ein Sicherheitsleck mit einem Schaden in vorliegender Grössenordnung auf, so wäre es wünschenswert, wenn der Anbieter Abklärungen trifft, die der Dimension des Schadens Rechnung tragen. Dabei wäre das Schwergewicht der Untersuchungen darauf zu legen, dass ein Sicherheitsleck im technischen Verantwortungsbereich des Anbieters ausgeschlossen werden könnte. Z bringt insbesondere vor, dass das erwähnte Kettenverhältnis aufgrund der Auslandsverbindungen die Ursachenforschung erschwert. Dieser Fakt ist nachvollziehbar. Für betroffene Kunden ist dies jedoch unerheblich, da Z als Vertragspartner für allfällige Subunternehmer für die Sorgfalt bei der Leistungserbringung einstehen muss (vgl. Art. 101 OR). Sofern ein Anspruch von Kunden auf Herausgabe gewisser Informationen besteht, ist Z der alleinige Ansprechpartner. Dabei obliegt es dem Anbieter die erforderlichen Informationen bei Dritten zu beschaffen. Dabei ist unerheblich, ob diese Partner innerhalb oder ausserhalb seiner Netzgrenzen operieren.

b. Kooperation und Aufarbeitung des Vorfalls

Die Lokalisierung des Lecks würde auch zur Frage der Verantwortlichkeit erheblich beitragen. Ein Verweis, bei anderen Kunden funktioniere der Dienst problemlos und fehlerfrei, kann als Begründung nicht genügen und ist für Dritte nicht überprüfbar. Ein einmaliges Sicherheitsleck kann nicht ausgeschlossen werden. Ein Befund zur Verantwortlichkeit des Sicherheitslecks ohne umfassende und professionelle Abklärungen ist voreilig und erweckt den Eindruck, dass sich Z in erster Linie schadlos halten will. In sämtlicher Korrespondenz weist Z jede Verantwortlichkeit dafür ab, dass das Sicherheitsleck möglicherweise aus der Risikosphäre bzw. dem System des Anbieters liegen könnte. Eine eingehende Analyse des Vorfalles und eine nachvollziehbare Erklärung sind nicht ersichtlich. Z verweist in diesem Zusammenhang auf die umfangreiche Zertifizierung des Unternehmens, welches die höchsten Sicherheitsstandards erfülle. Ob die erwähnten Zertifizierungen und Akkreditierungen auch für das Produkt “Voice Line” gelten, muss der Ombudsmann offen lassen. Entsprechende Hinweise sind auf der Webseite des Anbieters jedenfalls nicht ersichtlich. Sofern Z entgegen der Vermutungen des Ombudsmanns eine Überprüfung ihres Risikobereiches durchführte, bleibt fraglich, weshalb der Kunde über die Prüfung sowie die Resultate nicht orientiert wurde.

Gestützt auf die ihm vorliegenden Informationen schätzt der Ombudsmann die Kooperation von Z in der Aufarbeitung und Ursachenforschung des Zwischenfalls gegenüber ihrem Kunden als insgesamt ungenügend ein. Dazu ist allerdings zu ergänzen, dass der Anbieter gemäss den vorliegenden Verträgen und Allgemeinen Geschäftsbedingungen (AGB) grundsätzlich nicht dazu verpflichtet ist, Kunden bei der Aufarbeitung von Sicherheitslücken oder anderen Vorfällen behilflich zu sein. Es sei denn, dem Kunden ist ein Schaden entstanden, welcher durch Z absichtlich oder grobfahrlässig herbeigeführt worden ist. Da die Schlichtungsstelle die Verantwortlichkeit für das Sicherheitsleck mangels Beweisführung nicht der einen oder anderen Partei zuordnen kann, bleibt es ebenso unmöglich, eine Einschätzung zum Verschulden zu tätigen. Im Weiteren dürfte es schwierig sein, dem Anbieter Absicht oder Grobfahrlässigkeit des Verhaltens nachzuweisen. Letztlich weist Z in den AGB unter Ziff. 7.1 Bst. e seine Kunden auf die Verpflichtung hin, ihre Netzwerke und IT-Infrastrukturen gemäss den anerkannten Regeln zu konfigurieren und anzuschliessen damit das Risiko ein Ziel oder eine Quelle von Unterbrechungen, Netzwerkfehlern oder Angriffen zu werden, minimiert wird.

B. Datenauskunft der Z

a. Nach Fernmeldegesetz

Weiter möchte der Ombudsmann auf die Datenauskunft von Z gegenüber X AG eingehen, da Z mit Verweis auf den Datenschutz dem Kunden keine genaueren Daten über die missbräuchlichen Gespräche liefern wollte. Es ist danach zu fragen, welche Daten der Anbieter von den Gesprächen seiner Kunden aufzeichnen und herausgeben muss. Nach der Fernmeldegesetzgebung sind in der Schweiz operierende Fernmeldedienstanbieter nach Art. 45 des Fernmeldegesetzes (FMG) und nach Art. 80 der Fernmeldeverordnung (FDV) verpflichtet, die persönlichen Daten der Teilnehmer so lange aufzubewahren, wie dies notwendig ist, um das für die entsprechenden Leistungen geschuldete Entgelt zu erhalten und den Kunden darüber Auskunft zu geben. Art. 81 Abs. 1 FDV verpflichtet die Anbieter dazu, ihren Kunden so lange Auskunft über die Rechnungsdaten zu geben, wie diese die Rechnung anfechten können (i.d.R. 30 Tage). Dabei werden vom Gesetzgeber insbesondere die Adressierungselemente erwähnt. Dazu gehören im Bereich des Festnetzes die Rufnummern der abgehenden und ankommenden Anrufe sowie das Datum, die Zeit und die Dauer der einzelnen Verbindung. Diesen Anforderungen konnte Z nicht genügen, wenn sich der Anbieter in seiner Stellungnahme darauf beschränkt, das Zustandekommen der fraglichen Verbindungen zu bestätigen. Ebenso unbehelflich ist der Verweis auf den Umstand, wonach die Anrufe möglicherweise ausserhalb ihrer Netzgrenzen entgegengenommen wurden und daher keine weiteren Informationen erbringlich seien.

b. Aufklärung und Auskunft via Strafverfahren

Es bieten sich für den Kunden allerdings noch andere Möglichkeiten an, von Z die benötigten Informationen herauszuverlangen, wenn der Anbieter die verlangten Informationen nicht freiwillig darbringen will. Die X AG könnte für den missbräuchlichen Eingriff (gestützt auf Art. 147 sowie Art. 150 StGB) ein Strafverfahren gegen Unbekannt anstrengen. Im Rahmen eines allfälligen Strafverfahrens können die Behörden eine Überwachung der Fernmeldedienstes und/oder die Herausgabe von Verbindungsdaten anordnen. Der Dienst ÜPF prüft, ob im Gesuch ein Tatbestand gemäss Art. 3 Abs. 2 oder 3 BÜPF aufgeführt ist und ob die Anordnung von einer nach dem anwendbaren Verfahrensrecht zuständigen Behörde ausging. Die Rechtmässigkeit einer Überwachungsanordnung kann dabei weder durch den Dienst ÜPF oder den Fernmeldedienstanbieter bestritten werden. Diese Möglichkeit steht nach Art. 10 Abs. 5 und 6 BÜPF (Bundesgesetz vom 6. Oktober 2000 betreffend die Überwachung des Post- und Fernmeldeverkehrs, SR 780.1) ausschliesslich den von der Überwachung betroffenen Personen zu (Vgl. BGE 130 II 249 E. 2.2.2).

Gemäss Art. 15 Abs. 3 BÜPF sind Fernmeldedienstanbieter dazu verpflichtet, die für die Teilnehmeridentifikation notwendigen Daten sowie die Verkehrs-und Rechnungsdaten während sechs Monaten aufzubewahren. Bei diesen Rechnungsdaten handelt es sich um die Verbindungsnachweise, auch Randdaten CDRs - Call Data Records - genannt. Der Ausdruck "Randdaten" wird vom Gesetzgeber nicht verwendet. Allgemein versteht man darunter jedoch sämtliche Daten des zu überwachenden Fernmeldeverkehrs mit Ausnahme des Inhalts der ausgetauschten Informationen. Unter den Verkehrs- und Rechnungsdaten versteht die Verordnung (VÜPF) weiter diejenigen Informationen, die von den Anbietern über den Fernmeldeverkehr aufgezeichnet werden, um die Tatsache der Kommunikation und die Rechnungsstellung zu belegen (Art. 2 lit. g VÜPF). Darunter fallen insbesondere die vollständigen Adressierungselemente der Anschlüsse oder die Rufnummern des Gesprächspartners bzw. des Versenders/Empfängers sowie Datum, Zeit , Dauer und Kosten der Verbindungen. Techniker sprechen in diesem Zusammenhang auch von Intercept Related Informations (Vgl. Thomas Hansjakob, Kommentar zum BÜPF/VÜPF S. 389/390). In Art. 5 Abs.1 lit. b BÜPF ist die gesetzliche Grundlage für die Erhebung von noch vorhandenen rückwirkenden Randdaten verankert. Art. 16 lit. d VÜPF konkretisiert die zu liefernden Daten für den Bereich der Festnetz- und Mobilfunktelefonie.

Z AG müsste den Behörden in einen allfälligen Verfahren sämtliche ihnen zur Verfügung stehenden Daten herausgeben. Ob sich damit die Ursache und das Leck des unbefugten Eingriffs in das Kommunikationssystem feststellen lässt, kann der Ombudsmann nicht beurteilen und muss an dieser Stelle offen bleiben. Letztlich möchte der Ombudsmann dem Anbieter zur Vermeidung solcher Fälle in Zukunft eine Empfehlung abgegeben. Es ist bekannt, dass andere Fernmeldedienstanbieter Business-Kunden als Serviceleistung ein sogenanntes Fraud-Management-System anbieten. Dieses schlägt bei stark überhöhten sowie bei sprunghaft ansteigenden Gesprächskosten eines Teilnehmeranschlusses einen Alarm an. Ein solcher Dienst hätte den Schaden im vorliegenden Fall zumindest in Grenzen gehalten.

C. Schlussfolgerungen

Wie die gemachten Ausführungen zeigen kann der Ombudsmann - wie eingangs angesprochen - im vorliegenden Konflikt die entscheidenden Fragen nicht klären. Aus seiner Sicht kann festgehalten werden, dass die erfolgten - aber auch lange ausgebliebenen Reaktionen von Z beim Kunden nicht vertrauensbildend wirkten. Die Frage, wessen Risikospähre das technische Leck für den Missbrauch zuzuordnen ist, kann nur eine technische Expertise beantworten. Es ist davon auszugehen, dass ein solches Gutachten auch in einem allfälligen gerichtlichen Verfahren unerlässlich wäre. Der Ombudsmann kann weiter festhalten, dass Fehler bei Subunternehmern von Z vollumfänglich zu Lasten des Anbieters und seiner Eigenschaft als alleiniger Vertragspartner von X AG gehen. Als aussergerichtliche Lösung bietet sich daher ein Kompromiss an. Der Ombudsmann möchte Z dazu bewegen, auf die Hälfte der strittigen Rechnungssumme über CHF 54’ 940.55 zu verzichten. Der Ombudsmann schlägt vor, dass X AG zur Beilegung der Differenzen CHF 27.470.00 an Z bezahlt. Der Ombudsmann hofft, dass dieser Vorschlag in Anbetracht der bekannten Fakten und der gemachten Ausführungen bei den Parteien auf Zustimmung stösst.

5. SCHLICHTUNGSVORSCHLAG

  1. Z stellt X AG nach Erhalt der schriftlichen Bestätigung über die erfolgreiche Schlichtung eine neue Rechnung über CHF 27’470.00 samt dazugehörigem Einzahlungsschein zu.
  2. X AG bezahlt die Rechnung über CHF 27’470.00 innert 20 Tagen nach Erhalt mit dem dazugehörigen Einzahlungsschein.
  3. Mit Bezahlung des Betrages unter Ziffer 2 gelten die Forderungen von Z aus den Rechnungen Nr. 100299428 vom 4. März 2009 und Nr. 100304055 vom 6. April 2009 als getilgt.
  4. Dieser Schlichtungsvorschlag wird von beiden Parteien freiwillig und ohne Schuldeingeständnis angenommen.

Bern, 12. August 2011

Dr. Oliver Sidler
Ombudsmann