Datenpanne bei REWE - mutmaßlicher Hacker untergetaucht (Update)

by Sascha Kuhrau |
on August 6, 2011 |
at 06:46

“Für die Unter­neh­men der REWE Group sind ver­läss­li­che Pro­dukt­qua­li­tät und Sicher­heit obers­tes Gebot. Dar­auf kön­nen sich unse­re Kun­den ver­las­sen” — damit wirbt REWE auf sei­nen Inter­net­sei­ten. Erst bei genau­em Wei­ter­le­sen erkennt man, damit sind nur Pro­duk­te des Unter­neh­mens gemeint, nicht die Datensicherheit.

Das erkann­ten ver­gan­ge­ne Woche nun auch Com­pu­ter­ha­cker und mach­ten sich erfolg­reich über die IT-Infra­struk­tur her. Ziel und Opfer der Daten­pan­ne waren zwei Daten­ban­ken mit Namen, Adres­sen und Pass­wör­tern von Kun­den, die an einer Fuß­ball­bil­der-Sam­mel­ak­ti­on und einer Inter­net­tausch­bör­se teil­ge­nom­men hatten.

Nach Anga­ben des Unter­neh­mens waren hier­bei kei­ne Bank- und Kre­dit­kar­ten­da­ten betrof­fen und die Sicher­heits­lü­cke seit Frei­tag abend geschlos­sen. Anga­ben über die Dau­er des Daten­lecks wur­den kei­ne gemacht. In den Pres­se­mel­dun­gen des Unter­neh­mens und er Unter­neh­mens­grup­pe fin­det sich nichts zu die­sem Vor­fall (zum Zeit­punkt des Ver­fas­sens die­ses Arti­kels), die Infor­ma­ti­on stammt von der Ber­li­ner Mor­gen­post.

Daten­schutz tut Not

Die nicht abrei­ßen­de Flut an Daten­pan­nen der letz­ten Wochen zeigt deut­lich auf, es steht nicht zum Bes­ten um das The­ma Daten­schutz in Unter­neh­men. Nicht aus­rei­chend geprüf­te Soft­ware­up­dates, mona­te­lang bekann­te sträf­lich ver­nach­läs­sig­te Sicher­heits­lü­cken oder auch unzu­rei­chen­de Pass­wort­si­cher­heit füh­ren die Hit­lis­ten der Grün­de für die­se Daten­pan­nen an. Fra­gen Sie doch mal Ihren Daten­schutz­be­auf­trag­ten, was er gegen sol­che Vor­komm­nis­se an pro­ba­ten Mit­teln bereit­hält. Sie wer­den stau­nen. Apro­pos: hat Ihr Unter­neh­men über­haupt einen Daten­schutz­be­auf­trag­ten? Viel­leicht droht hier schon das nächs­te Unge­mach in Form eines Buß­gelds auf­grund feh­len­der oder ver­spä­te­ter Bestellung.

Auf jeden Fall soll­ten alle Betrof­fe­ne prü­fen, ob das bei REWE genutz­te Pass­wort auch an ande­rer Stel­le zum Ein­satz kam. Wenn ja, dann ist schnel­ler Wech­sel angesagt.

Update 18.07.2011, 16:27 Uhr:

Mitt­ler­wei­le ist eine Pres­se­mel­dung der REWE Group erschienen.

Update 20.07.2011, 09:45 Uhr:

Der Spie­gel berich­tet, die Log­in­da­ten inkl. Pass­wör­ter sind mitt­ler­wei­le frei im Netz ver­füg­bar. Die Pass­wör­ter lagen in den Sys­te­men von REWE in unver­schlüs­sel­ter Form vor und laden nun zum Miß­brauch ein. Jetzt heisst es für Betrof­fe­ne schnell reagie­ren und die­ses Pass­wort über­all da zu ändern, wo es mög­li­cher­wei­se noch zum Ein­satz kam.

Update 06.08.2011, 09:10 Uhr

hei­se mel­det im Ticker, die Köl­ner Poli­zei habe den mut­maß­li­chen Täter ermit­telt. Es soll sich dabei um einen 23-jäh­ri­gen han­deln, der zur Zeit flüch­tig ist. Der Ver­däch­ti­ge hat sich in ein­schlä­gi­gen Hacker­fo­ren im Inter­net über sei­ne Vor­ge­hens­wei­se beim Ein­drin­gen in die REWE-Sys­te­me geäußert.

Bedau­er­li­cher­wei­se führ­ten die­se Anlei­tun­gen zu wei­te­ren Angrif­fen, so die Köl­ner Kri­po. Wei­te­re Daten­ver­lus­te bis zu Abschal­tung der Sys­te­me sei­en durch­aus im Bereich des Möglichen.

Da die gehack­ten Kun­den­da­ten mitt­ler­wei­le im Inter­net ver­öf­fent­licht wur­den, kann der Appell an mög­li­che Betrof­fe­ne nur drin­gend wie­der­holt wer­den, mehr­fach ver­wen­de­te Pass­wör­ter schleu­nigst zu ändern, um Miß­brauch zu vermeiden.

Hilf­rei­che Datenschutz-Links

  • Wol­len Sie die Risi­ken aus dem Bun­des­da­ten­schutz­ge­setz für Ihr Unter­neh­men mini­mie­ren? Eine pas­sen­de Lösung fin­den Sie sicher in unse­rem Leis­tungs­an­ge­bot.
  • Unsi­cher, ob für Ihr Unter­neh­men die gesetz­li­che Bestell­pflicht für einen (exter­nen) Daten­schutz­be­auf­trag­ten vor­liegt? Die Ant­wort gibt unser Daten­schutz-Quick-Check, sie­he Leis­tun­gen.
  • Sie wol­len eine unab­hän­gi­ge Prü­fung, wie gut es um Daten­schutz und Daten­si­cher­heit in Ihrem Unter­neh­men bestellt ist? Kein Pro­blem mit unse­ren Leis­tun­gen.
  • Schu­lungs­be­darf für Ihre Mit­ar­bei­ter? Zusätz­li­che Trai­nings und Work­shops rund um Daten­schutz und Daten­si­cher­heit? Erfah­ren Sie mehr über unse­re Schu­lun­gen und Semi­na­re.
  • Anlei­tun­gen, Rat­ge­ber und Links, die das täg­li­che Arbei­ten erleich­tern und hel­fen kön­nen, Daten­pan­nen zu ver­mei­den, fin­den Sie in der Rubrik Anlei­tun­gen /​ Rat­ge­ber.

Categories:

DatenpanneDatenschutzbeauftragterPresseUnternehmen

Tags:

DatenbankDatenskandalDatenverlustITPanneUnternehmen

2 Responses

  1. […] lesen Sie mehr im Daten­schutz-Fach­blog von a.s.k. Datenschutz. […]

    Antworten

  2. Auf­sichts­be­hör­de knöpft sich REWE vor. Web­sei­te offline!…

    Nach­dem letz­te Woche Hacker in Ser­ver der zweit­größ­ten Han­dels­grup­pe REWE ein­ge­dran­gen, sind beim zustän­di­gen Lan­des­be­auf­trag­ten für Daten­schutz, Ulrich Lep­per wei­ter­hin eini­ge wesent­li­chen Fra­gen offen. Seit dem Vor­falll ist auch die Unternehmenswebse…

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Über a.s.k. Daten­schutz e.K.
News­let­ter

Unse­ren News­let­ter Daten­schutz und Infor­ma­ti­ons­si­cher­heit abon­nie­ren Sie hier.

Nächs­te Termine
  • Keine Termine
Unse­re Leis­tun­gen für Sie
Häu­fi­ge Fragen
Part­ner /​ Koope­ra­tio­nen


Anwalts­kanz­lei Diercks, Hamburg


Spi­rit Legal Rechts­an­wäl­te, Leipzig


RA Ste­phan Han­sen-Oest, Flensburg


Anstalt für Kom­mu­na­le Daten­ver­ar­bei­tung in Bay­ern (AKDB), München


Gesell­schaft für kom­mu­na­len Daten­schutz (GKDS), München


Whist­le Safe e.K., Ber­lin — Whist­le­b­lo­wing-Lösun­gen für Unter­neh­men und Kommunen


Daten­schutz Schmidt (Daten­schutz Assis­tent), Lauf a.d. Pegnitz

Hahn IT Ser­vices, Schwaig


Mibes IT-Sys­tem­haus, Raubling

Mit­glied­schaf­ten