Daten­pan­ne bei REWE — mut­maß­li­cher Hacker unter­ge­taucht (Update)

“Für die Unter­neh­men der REWE Group sind ver­läss­li­che Pro­dukt­qua­li­tät und Sicher­heit obers­tes Gebot. Dar­auf kön­nen sich unse­re Kun­den ver­las­sen” — damit wirbt REWE auf sei­nen Inter­net­sei­ten. Erst bei genau­em Wei­ter­le­sen erkennt man, damit sind nur Pro­duk­te des Unter­neh­mens gemeint, nicht die Datensicherheit.

Das erkann­ten ver­gan­ge­ne Woche nun auch Com­pu­ter­ha­cker und mach­ten sich erfolg­reich über die IT-Infra­struk­tur her. Ziel und Opfer der Daten­pan­ne waren zwei Daten­ban­ken mit Namen, Adres­sen und Pass­wör­tern von Kun­den, die an einer Fuß­ball­bil­der-Sam­mel­ak­ti­on und einer Inter­net­tausch­bör­se teil­ge­nom­men hatten.

Nach Anga­ben des Unter­neh­mens waren hier­bei kei­ne Bank- und Kre­dit­kar­ten­da­ten betrof­fen und die Sicher­heits­lü­cke seit Frei­tag abend geschlos­sen. Anga­ben über die Dau­er des Daten­lecks wur­den kei­ne gemacht. In den Pres­se­mel­dun­gen des Unter­neh­mens und er Unter­neh­mens­grup­pe fin­det sich nichts zu die­sem Vor­fall (zum Zeit­punkt des Ver­fas­sens die­ses Arti­kels), die Infor­ma­ti­on stammt von der Ber­li­ner Mor­gen­post.

Daten­schutz tut Not

Die nicht abrei­ßen­de Flut an Daten­pan­nen der letz­ten Wochen zeigt deut­lich auf, es steht nicht zum Bes­ten um das The­ma Daten­schutz in Unter­neh­men. Nicht aus­rei­chend geprüf­te Soft­ware­up­dates, mona­te­lang bekann­te sträf­lich ver­nach­läs­sig­te Sicher­heits­lü­cken oder auch unzu­rei­chen­de Pass­wort­si­cher­heit füh­ren die Hit­lis­ten der Grün­de für die­se Daten­pan­nen an. Fra­gen Sie doch mal Ihren Daten­schutz­be­auf­trag­ten, was er gegen sol­che Vor­komm­nis­se an pro­ba­ten Mit­teln bereit­hält. Sie wer­den stau­nen. Apro­pos: hat Ihr Unter­neh­men über­haupt einen Daten­schutz­be­auf­trag­ten? Viel­leicht droht hier schon das nächs­te Unge­mach in Form eines Buß­gelds auf­grund feh­len­der oder ver­spä­te­ter Bestellung.

Auf jeden Fall soll­ten alle Betrof­fe­ne prü­fen, ob das bei REWE genutz­te Pass­wort auch an ande­rer Stel­le zum Ein­satz kam. Wenn ja, dann ist schnel­ler Wech­sel angesagt.

Update 18.07.2011, 16:27 Uhr:

Mitt­ler­wei­le ist eine Pres­se­mel­dung der REWE Group erschienen.

Update 20.07.2011, 09:45 Uhr:

Der Spie­gel berich­tet, die Log­in­da­ten inkl. Pass­wör­ter sind mitt­ler­wei­le frei im Netz ver­füg­bar. Die Pass­wör­ter lagen in den Sys­te­men von REWE in unver­schlüs­sel­ter Form vor und laden nun zum Miß­brauch ein. Jetzt heisst es für Betrof­fe­ne schnell reagie­ren und die­ses Pass­wort über­all da zu ändern, wo es mög­li­cher­wei­se noch zum Ein­satz kam.

Update 06.08.2011, 09:10 Uhr

hei­se mel­det im Ticker, die Köl­ner Poli­zei habe den mut­maß­li­chen Täter ermit­telt. Es soll sich dabei um einen 23-jäh­ri­gen han­deln, der zur Zeit flüch­tig ist. Der Ver­däch­ti­ge hat sich in ein­schlä­gi­gen Hacker­fo­ren im Inter­net über sei­ne Vor­ge­hens­wei­se beim Ein­drin­gen in die REWE-Sys­te­me geäußert.

Bedau­er­li­cher­wei­se führ­ten die­se Anlei­tun­gen zu wei­te­ren Angrif­fen, so die Köl­ner Kri­po. Wei­te­re Daten­ver­lus­te bis zu Abschal­tung der Sys­te­me sei­en durch­aus im Bereich des Möglichen.

Da die gehack­ten Kun­den­da­ten mitt­ler­wei­le im Inter­net ver­öf­fent­licht wur­den, kann der Appell an mög­li­che Betrof­fe­ne nur drin­gend wie­der­holt wer­den, mehr­fach ver­wen­de­te Pass­wör­ter schleu­nigst zu ändern, um Miß­brauch zu vermeiden.

Hilf­rei­che Datenschutz-Links