OneLog, das Medien-Login der grossen Medienunternehmen in der Schweiz, fiel Ende Oktober 2024 nach eigenen Angaben einem «Cyber-Sabotageakt» zum Opfer.
Was weiss der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) über diese «Sabotage», die immerhin die Daten von rund 3.5 Millionen Nutzer:innen betraf?
OneLog wird – vorläufig noch – als Login-System von Ringier und TX Group sowie CH Media, NZZ und SRG genutzt. Alle grossen schweizerischen Medienunternehmen beteiligen sich bei OneLog.
Die Datenpanne vor einem Jahr ist deshalb von erheblichem öffentlichem Interesse. Allerdings scheuen sich die meisten Medienschaffenden, über die Datenpanne journalistisch zu berichten oder gar zu recherchieren.
Was weiss der EDÖB über die Datenpanne bei OneLog?
Am 2. Dezember 2024 ersuchte ich den EDÖB mit Verweis auf das Öffentlichkeitsgesetz (BGÖ) um den Zugang zu allen Dokumenten im Zusammenhang mit der OneLog AG, der gleichnamigen Betreiberin von OneLog.
Der EDÖB ist die schweizerische Datenschutz-Aufsichtsbehörde und unter anderem für Meldungen über Verletzungen der Datensicherheit zuständig.
Mit Verfügung vom 2. Juli 2025 verfügte der EDÖB mit Einschränkungen den Zugang zu verschiedenen Dokumenten. Die Verfügung, wie ich sie erhielt, ist mit zahlreichen Schwärzungen versehen.
Mit E-Mail vom 25. September 2025 informierte mich der EDÖB, dass OneLog beim Bundesverwaltungsgericht Beschwerde gegen den Zugang erhoben hatte.
Am 7. Oktober 2025 berichtete ich im Podcast «Datenschutz-Plaudereien» über die Angelegenheit.
OneLog gewährt freiwillig Zugang zu ausgewählten Dokumenten
Kurze Zeit nach der Veröffentlichung der Podcast-Episode kontaktierte mich ein Rechtsvertreter von OneLog und informierte mich über den aktuellen Stand aus Sicht von OneLog.
OneLog bekundet demnach grundsätzlich kein Problem mit dem Zugang zu den Dokumenten beim EDÖB. In zwei Protokollen sieht OneLog aber falsche Angaben des EDÖB, die im Verfahren über den Zugang weder berichtigt noch mit einem Bestreitungsvermerk versehen wurden.
In der Folge erhob OneLog die erwähnte Beschwerde am Bundesverwaltungsgericht. In der ebenfalls erwähnten Verfügung findet sich diese Thematik in Rz. 35 ff.
Gleichzeitig liess mir OneLog ausgewählte Dokumente zur Korrespondenz mit dem EDÖB im Zusammenhang mit der Datenpanne zukommen.
Ich veröffentliche die erhaltenen Dokumente nach Rücksprache von OneLog mit dem EDÖB nachfolgend in chronologischer Reihenfolge.
Die Schwärzungen in den Dokumenten stammen grundsätzlich vom EDÖB. Einige Schwärzungen stammen von OneLog und sind mit einem entsprechenden Hinweis versehen («Die Informationen dieses Teils sind strittig bzw. Gegenstand eines gerichtlichen Verfahrens»).
Ausgewählte Dokumente zur Datenpanne bei OneLog
25. Oktober 2024: Mündliche Meldung von Ringier an den EDÖB
Mit E-Mail vom 25. Oktober 2024 informierte Dr. Adrian Lobsiger, der gewählte Leiter des EDÖB, mehrere Mitarbeiter:innen über die mündliche Meldung der Datenpanne durch Ringier.
Der EDÖB schrieb insbesondere:
«Mündliche Meldung von Ringier: One Log Kundenkontos wurden gehackt. Ordentliche Meldung des Data Breach folgt.»
Ringier ist das federführende Medienunternehmen bei OneLog. Der Medien-Login («OneLog-SSO») basiert auf einer ursprünglich von Ringier entwickelten Software.
29. Oktober 2024: Datenschutzberaterin von OneLog bittet um Telefongespräch mit dem EDÖB
Mit E-Mail vom 29. Oktober 2024 ersuchte eine «externe Datenschutzberaterin» von OneLog den Informationssicherheitsspezialisten Fritz von Allmen beim EDÖB um ein Telefongespräch.
Die Datenschutzberaterin meldete sich per E-Mail, nachdem die beiden Seiten mit spontanen Telefonanrufen nicht erfolgreich gewesen waren:
«Sie haben ██████████ heute Morgen auf die Combox gesprochen und offenbar heute Nachmittag
nochmals versucht, sie telefonisch zu erreichen. Sie ist diese Woche in den Ferien.Ich habe heute Nachmittag und soeben ebenfalls versucht, Sie telefonisch unter dieser Nummer zu erreichen.
Hätten Sie heute noch Zeit für ein kurzes Telefonat? Sehr gerne würde ich Ihnen zum Vorfall ein kurzes Update geben.»
30. Oktober 2024: Telefongespräch zwischen OneLog und EDÖB
Gemäss einer Aktennotiz vom 30. Oktober 2024 fand am gleichen Tag das gewünschte Telefongespräch zwischen dem EDÖB und einer Datenschutzberaterin (Data Protection Officer, DPO) von OneLog statt.
Die Aktennotiz wurde von Marco Beck, Informations- und Sicherheitsspezialist beim EDÖB, erstellt.
Gemäss der Aktennotiz wurde die Datenpanne damals noch von OneLog untersucht:
«Die Techniker befinden sich immer noch in Analyse des Vorfalls. Die Forensiker sind an der Analyse, was genau vorgefallen ist, welche Daten und Systeme betroffen sind und ob Daten abgeflossen sind.
Es finden täglich bis 2 Sitzungen mit den DPO’s und / oder weiteren involvierten Personen statt. Leider könne sie mir daraus keine weiteren Informationen liefern.»
Gemäss der Aktennotiz bestand innerhalb von OneLog keine Einigkeit über die «sofortige Information der betroffenen Personen». Die DPO habe mehrfach die Information beantragt, was aber abgelehnt wurde.
Diese Darstellung wird von OneLog bestritten. In der Aktennotiz finden sich zwei entsprechende Bestreitungsvermerke von OneLog.
In jedem Fall kritisierte der EDÖB im Telefongespräch gemäss der Aktennotiz die noch nicht erfolgte Information:
«Habe ihr daraufhin erklärt, dass dies aus Sicht der Forensiker sicherlich verständlich ist, jedoch aus Sicht der betroffenen Personen nicht OK ist. Insbesondere können weitere Schäden nicht minimiert werden bzw. die eventuell abgeflossenen Informationen können für weitere Schäden missbraucht werden. »
Weitere Themen im Telefongespräch zwischen der DPO und dem EDÖB waren eine erstellte «Risikoanalyse aus Sicht Datenschutz» von OneLog, die noch technisch beurteilt bzw. ergänzt musste, die noch nicht erfolgte formelle Meldung über die Datenpanne, und ob es genügt, wenn OneLog allein meldet, oder andere beteiligte Unternehmen die Datenpanne dem EDÖB ebenfalls melden müssen.
Der EDÖB beurteilte den Punkt der meldenden Unternehmen gemäss der Aktennotiz wie folgt:
«Ich habe ihr so geantwortet, dass sofern nur das SSO-Portal bei OneLog betroffen ist, nur eine Meldung von OneLog und im Namen aller angeschlossenen Firmen erfolgen kann. Wenn jedoch auch Systeme bei den angeschlossenen Firmen betroffen sind, dann muss jede Firma selber für diese Datensicherheitsverletzung eine entsprechende Meldung erstellen.»
31. Oktober 2024: Freiwillige Meldung von OneLog an den EDÖB
Mit E-Mail vom 31. Oktober 2024 (Empfangsbestätigung) gelangte der erwähnte Rechtsvertreter von OneLog mit einer freiwilligen Meldung über die Datenpanne an Dr. Adrian Lobsiger.
«Die OneLog AG (OneLog) hat uns in der Dir bekannten Data-Breach-Angelegenheit mit der Unterstützung und Vertretung mandatiert.»
Gemäss dieser E-Mail umfasste die zu diesem Zeitpunkt erfolgte «Aufarbeitung des Zwischenfalls» unter anderem eine «erste Einschätzung des Risikos der einzelnen betroffenen Personen, welches nicht als hoch eingestuft wurde.»
Mit dem nicht hohen Risiko begründete OneLog die freiwillige Meldung an den EDÖB:
«Aus diesem Grund erfolgte auch keine formelle Meldung an Dich, da eine solche über Euer Meldeformular nur möglich ist, wenn der Verantwortliche offiziell mitteilt, dass er von einem hohen Risiko für die betroffenen Personen ausgeht. Da OneLog bisher nicht davon ausgegangen ist und weiterhin nicht davon ausgeht, dass ein solches vorliegt, meldete sie konsequenterweise nicht. Es wäre nicht richtig gewesen. […] .»
Die Möglichkeit einer freiwilligen Meldung von Verletzungen der Datensicherheit hatte der EDÖB damals noch nicht offizialisiert. Das geschah erst mit dem neuen Leitfaden vom 6. Februar 2025 (PDF-Datei).
In der freiwilligen Meldung wird die Datenpanne unter anderem wie folgt beschrieben:
«Am 23. Oktober 2024 um 21:35 Uhr UTC erfolgte ein Zugriff auf von OneLog bei AWS betriebene Cloud-Instanz. Der unbekannten Täterschaft gelang es trotz Sicherungen (inklusive MFA) an die Zugangsdaten für die Root-Accounts zu gelangen und diese erfolgreich zu benutzen, um über die Management-Konsole mehr oder weniger sämtliche Daten in den verschiedenen Instanzen, inklusive der dort befindlichen Backups zu löschen (nicht jedoch alle Logs).
Betroffen waren bei OneLog (als Verantwortliche) folgende Personendaten: E-Mail, UserlD und ein Passwort-Hash (mit Salt; das Passwort muss aus mindestens acht Zeichen, einer Zahl sowie Gross- und Kleinbuchstaben bestehen) sowie bei einem geringeren Teil noch Anrede, Vorname und Nachname. Ferner waren auf dem System natürlich auch Benutzer- und Systemlogs. Gewisse Brands nutzen OneLog zusätzlich zur Speicherung weiterer Daten wie Geburtsjahr, Adresse, Mobile-Nummer und Nickname, in welchen Fällen OneLog als Auftragsbearbeiterin fungiert. OneLog hatte Datensätze von 3.5 Mio. Benutzerinnen und Benutzern.»
Und:
«Die Daten werden nun anhand anderer Kopien wiederhergestellt, aber das wird noch einige Tage dauern. Vorher ist ein Passwort-Reset nicht nötig und möglich.»
Und auch:
«OneLog geht davon aus, dass die Verfügbarkeit der Daten vorübergehend betroffen gewesen sein wird; ob auch die Vertraulichkeit betroffen war, wird sich zeigen müssen. Die Daten waren at-rest verschlüsselt (d.h. zusätzlich zum Passwort-Hash). Ob die Daten im Rahmen des Zugriffs entschlüsselt wurden oder bei den gegebenen Einstellungen überhaupt werden konnten über die Management-Konsole, ist noch nicht klar. Der Zugriff dauerte gemäss ersten Hinweisen jedoch nur relativ kurze Zeit und fokussierte auf die Löschung von Daten und Verändern von Parametern, um den Wiederanlauf zu erschweren.
Es wurde mit einem erfahrenen Unternehmen sofort eine forensische Untersuchung eingeleitet, auch um festzustellen, ob es um ‹blosse› Sabotage geht, oder auch Anhaltspunkte über einen möglichen Datenabfluss bestehen. Aktuell gibt es für letzteres keine Anhaltspunkte […]. Somit deuten die bisherigen Hinweise im Moment dahingehend, dass es sich um einen Sabotageakt handelte, Bekennerhinweise oder Erpresserforderungen gab es bisher keine. Es findet ein laufendes Darknet-Monitoring statt, wo ebenfalls bisher keine Hinweise auf den Vorfall aufgetaucht sind, auch nicht von etwaigen Trittbrettfahrern, wie sie manchmal vorkommen.»
Weitere Themen in der freiwilligen Meldung waren unter anderem die Information der betroffenen Personen …
«OneLog will die betroffenen Personen informieren, hat aber die besondere Herausforderung, dass es ihr technisch nur möglich ist, eine relativ geringe Anzahl von E-Mail am Tag zu versenden, wobei das Kontingent auch E-Mails für Passwort-Rücksetzungen umfasst, die dann weiterhin möglich bleiben müssen. Würde sie die 3.5 Mio. Kunden per E-Mail informieren, würde dies tägliche Versendungen über eine Zeitdauer von zwei Monaten bedeuten bis alle erreicht wären. Solange will OneLog nicht warten.
Daher wird via Medien-Mitteilung bzw. über die Plattformen der OneLog-Partner informiert werden, wie dies Art. 24 Abs. 5 lit. c DSG im Fall einer Meldepflicht auch vorsieht. Die Information soll insbesondere beinhalten, was die betroffenen Personen müssen, um ihr Login zu reaktivieren, da ein neues Passwort gesetzt werden muss. Es wird auch darauf hingewiesen, dass dasselbe Passwort nicht für mehrere Dienste eingesetzt werden sollte. Ferner wird kurz informiert, um welche Art der Verletzung es geht, welche Massnahmen getroffen wurden, und wohin sie sich mit Fragen wenden können.»
… und die Frage, ob die Passwörter der Nutzer:innen entschlüsselt werden könnten:
«OneLog geht jedoch aufgrund der Passwort-Komplexitätsvorgaben derzeit nicht davon aus, dass das Passwort innert sich lohnender Zeit geknackt werden kann, selbst wenn die verschlüsselten Daten entschlüsselt und exfiltriert worden wären, wofür es derzeit keinen Hinweis gibt. Bei OneLog könnten diese Passwörter ohnehin nicht mehr benutzt werden, da alle Benutzer ein neues Passwort setzen müssen.
Das primäre Risiko sieht OneLog darüber hinaus derzeit in der unzulässigen Verwendung der E-Mail-Adresse, namentlich durch Zusendung von mehr Spam. Dagegen kann eine betroffene Person ohnehin keine Massnahme treffen, und dies stellt zwar eine Unannehmlichkeit dar, aber rechtlich kein hohes Risiko.
OneLog sieht in Bezug auf die von ihr verantworteten Daten aufgrund der Umstände derzeit auch kein hohes Risiko in Bezug auf Phishing, Identitätsdiebstahl oder Betrug. Daher ist sie im Rahmen ihrer Risikobeurteilung zum Schluss gelangt, dass für die einzelnen betroffenen Personen kein hohes Risiko vorliegt.»
1. November 2024: Meldung von Ringier an den EDÖB
Mit E-Mail vom 1. November 2024 (Empfangsbestätigung) erklärte der Rechtsvertreter von OneLog, nun auch die Ringier-Gruppe zu vertreten.
Der Rechtsvertreter erklärte, es gäbe gegenüber der freiwilligen Meldung vom Vortag «keine neuen Entwicklungen», abgesehen von einer inzwischen veröffentlichten Medienmitteilung von Ringier.
Der Rechtsvertreter erklärte ausserdem, dass einige Unternehmen innerhalb der Ringier-Gruppe von OneLog zum Teil zusätzliche Personendaten bearbeiten liessen:
«Einige Gesellschaften aus der Ringier Gruppe (Ringier AG, Energy Schweiz AG, GRYPS AG, Ringier Sports AG) haben – in ihrer Verantwortung – für gewisse ihrer Brands von Onelog AG zusätzliche Personendaten bearbeiten lassen, so Insbesondere Zustimmungen, sowie teilweise noch Nickname, Mobilenummer, Nationalität, Adresse, Geburtsdatum und Universität. Bei diesen Zusatzdaten handelt es sich aber nicht aus den Abosystemen replizierte Daten, sondern zusätzlich erfasste Daten (Beispiel: Ein Benutzer macht online an einem Gewinnspiel mit und erfasst seine Adresse).»
Das Risiko sei aber auch bei diesen Unternehmen nicht hoch:
«Alle genannten Gesellschaften haben eine Beurteilung des Risikos für die betroffenen Personen durchgeführt und sind zum Ergebnis gekommen, dass es auch bei ihnen nicht hoch ist. Dies auch wenn vertreten würde, dass das Risiko eines Phishings leicht höher einzuschätzen ist als bei den Basisdaten. Nach dem aktuellen Wissensstand gibt es weiterhin keine Hinweise darauf, dass Personendaten exfiltriert wurden. Hierzu verweise ich auf die Angaben von OneLog AG von gestern.»
Ferner würden diese Unternehmen in Kürze die betroffenen Personen informieren:
«Die Gesellschaften planen unabhängig von OneLog AG die betroffenen Personen Anfang kommende Woche informieren, was das Phishing-Risiko zusätzlich senken wird; es wird derzeit davon ausgegangen, dass die Daten übers Wochenende wiederhergestellt und die Login-Funktionen wieder aktiviert werden können.»
4. November 2024: Follow-up von OneLog und Ringier für den EDÖB
Mit E-Mail vom 4. November 2024 (Empfangsbestätigung) berichtete der Rechtsvertreter von OneLog und Ringier dem EDÖB, dass OneLog den Betrieb wieder aufnehmen konnte, auch mit Verweis auf eine entsprechende weitere Medienmitteilung von Ringier.
Ferner berichtete der Rechtsvertreter, dass OneLog weiterhin von einem «Sabotageangriff» ausgehe:
«OneLog geht weiterhin von einem Sabotageangriff aus (d.h. nicht einer Exfiltration von Daten). Insbesondere geht OneLog weiterhin davon aus, dass keine Passwörter kompromittiert worden sind. Dies wurde so jetzt auch kommuniziert.»
Gleichzeitig erinnerte der Rechtsvertreter an den Verzicht auf eine Information der betroffenen Personen per E-Mail direkt durch OneLog, nicht aber durch andere Unternehmen der Ringier-Gruppe:
«Wie erwähnt, informiert OneLog die betroffenen Personen nicht per E-Mail. Eine plötzliche Versendung so vieler Mails würde bei manchen Empfängersystemen die Spam-Filter anstossen, und weitere Mails wären blockiert, so unter anderem auch für Passwort-Rücksetzungsmails. Dies wäre kontraproduktiv. Partner von OneLog haben aber zum Teil selbst direkt informiert. In der Beilage ist beispielhaft ein Musterschreiben des Beobachters.»
8. November 2024: Update von OneLog und Ringier für den EDÖB
Mit E-Mail vom 8. November 2024 (Empfangsbestätigung) informierte der Rechtsvertreter von OneLog und Ringier den EDÖB über ein «Q&A», das seit dem Vorabend online geschaltet sei.
In der FAQ bzw. im Q&A heisst es unter anderem zu den wichtigsten Punkten aus Sicht von OneLog:
- «Art des Angriffs: OneLog geht von einem Sabotageangriff aus, nicht von einem Diebstahl oder unerlaubten Aneignung (Exfiltration) von Daten.
- Persönliche Daten: Es gibt derzeit keine Hinweise darauf, dass persönliche Daten, einschliesslich persönlicher Informationen oder Passwörter, gestohlen wurden. OneLog verwaltet keine sensiblen Daten wie Kreditkartendaten oder Informationen aus Lebensläufen.
- Plattform-Funktionalität: Der Sabotage-Angriff hat die Funktionalität der Plattform beeinträchtigt, was zu einer vorübergehenden Unterbrechung der Anmelde- und Registrierungsdienste führte. Seit dem 4.11.2024 sind die OneLog Systeme wieder verfügbar.»
Ferner berichtete der Rechtsvertreter über die laufenden Passwort-Rücksetzungen:
«In Bezug auf die Passwortrücksetzungen verläuft alles planmässig, soweit wir das sehen.»
14. November 2024: Telefonkonferenz zwischen OneLog, Ringier und dem EDÖB
Gemäss Protokoll vom 14. November 2024 fand an diesem 14. November 2024 ab 10.30 Uhr eine Telefonkonferenz zwischen Vertreter:innen von OneLog, Ringier und dem EDÖB statt.
Beim EDÖB waren Fritz von Allmen, Marco Beck und Alexandra Castiglione beteiligt. Castiglione leitete damals das «Team 2 Datenschutz» beim EDÖB.
Die Fragen des EDÖB gemäss Protokoll führten unter anderem zu folgenden Antworten:
«Gibt es weitere Entwicklungen seit der Information des EDÖB vom 31. Oktober und vom 4. November und 8. November?
Keine neuen Entwicklungen seit der letzten Information an den EDÖB.
OneLog hat auch eine ‹vorsorgliche› Meldung bei der EU gemacht. Dies weil 2 Firmen (aus der TX-Group) die OneLog nutzen, ihren Geschäftssitz in der EU haben.
Die Meldestellen haben die Information zur Kenntnis genommen. Die Luxemburgische Behörde hat jedoch nachgefragt, wieso OneLog diese Meldung gemacht hat, da sie dies nicht nachvollziehen können.»
Und:
«Sind aktuell noch Abklärungen im Gange? Wenn ja welche?
Ja, unter anderem bei der Polizei, dem BACS und bei den involvierten Forensikern.»
Und:
«Was ist der Stand der forensischen Untersuchung und welche neuen Erkenntnisse haben sich daraus ergeben?
Untersuchung ist noch am Laufen.
Bis jetzt sind keine Trittbrettfahrer festgestellt worden.
Auch wurden keine Forderungen gegenüber OneLog gestellt.
Es ist jedoch nicht mit raschen Ergebnissen zu rechnen.»
Und auch:
«Wie ist die Aufteilung zwischen OneLog und den Publishern punkto Verantwortlichkeit / Auftragsbearbeitung? Für welche Daten ist OneLog selbst Verantwortlicher?
Für das OneLog SSO-Portal bzw. deren Login-Daten hat die OneLog AG die volle Verantwortung. Für die Zusatzdaten auf dem SSO-Portal ist die OneLog AG in der Rolle des Auftragsbearbeiters.
Sie betonen nochmals, dass OneLog SSO und OneID zwei unabhängige Produkte der OneLog AG sind und NUR die OneLog SSO-Daten sind von diesem Vorfall betroffen.»
Die Antworten auf die folgenden zwei Fragen sind geschwärzt:
«Wie war es möglich den Root Account AWS zu hacken?
Erklärung, wie die MFA bypassed wurde?
Phishing?»
Und:
«Sind Profilingdaten* von dem Ereignis betroffen?
Wo liegt die Data Management Plattform (DMP)?
Wurden die Nutzerprofile gelöscht und müssen somit neu aufgebaut werden?
(*Erstellung und Verwendung von Profilen für personalisierte Werbung)»
Beide geschwärzten Antworten sind mit dem Hinweis «Die Informationen dieses Teils sind strittig bzw. Gegenstand eines gerichtlichen Verfahrens» versehen.
Die erhaltenen Dokumente enden mit diesem Protokoll der Telefonkonferenz vom 14. November 2024.
Siehe auch:
- Das Schweizer Medien-Login-System OneLog wurde gehackt (Andreas Von Gunten, 28. Oktober 2024)
- Was der Angriff auf das Prestigeprojekt der Schweizer Medienhäuser bedeutet («Republik», 4. November 2024)
- Intransparenz bei OneLog (dnip.ch, 5. November 2024)
- OneLog: Argument oder Ausrede? (dnip.ch, 22. November 2024)
- Medienmitteilungen von Ringier:
- Anmeldung und Registrierung via OneLog derzeit nicht möglich (25. Oktober 2024)
- Cyberangriff auf OneLog: Untersuchungen laufen (28. Oktober 2024)
- Untersuchungen zum OneLog Cyber-Sabotageakt laufen – Plattform und Dienste in den nächsten Tagen wieder verfügbar (31. Oktober 2024)
- OneLog Update: Login-Service wieder verfügbar (4. November 2024)
- OneLog informiert über weitere Erkenntnisse nach Sicherheitsvorfall: Keine Hinweise auf Datendiebstahl, Untersuchungen dauern an (23. Dezember 2024)
- Schweizer Medienhäuser setzen auf gemeinsames Advertising-Ökosystem: Ausbau von OneID und OneDSP gehen weiter (8. Oktober 2025)