Phishing-Emails an Kunden von K&M Elektronik

Mehr oder weni­ger hei­ter weiter

hei­se secu­ri­ty infor­miert heu­te im News­ti­cker über einen aktu­el­len Miß­brauch von Kun­den­da­ten nach einer bereits län­ger zurück­lie­gen­den Daten­pan­ne — die­ses Mal bei dem bekann­ten Elek­tronik­händ­ler K&M Elek­tro­nik. Damit reiht sich das Unter­neh­men in eine ste­tig wach­sen­de Lis­te illus­trer Mar­ken­un­ter­neh­men mit Daten­pan­nen ein.

Seit 2009 in den Hän­den von Hackern

Wie das Unter­neh­men gegen­über dem Ver­lag bestä­tig­te, ist die Kun­den­da­ten­bank bereits im Novem­ber 2009 in die Hän­de von Hackern gefal­len, Anschrif­ten und EMail-Adres­sen inklu­si­ve. Trotz wei­te­rer Sicher­heits­maß­nah­men wur­den im Mai 2011 erneut Kun­den­da­ten entwendet.

Phis­hing frei Haus

Die betrof­fe­nen Inha­ber der gestoh­le­nen Email-Adres­sen erhiel­ten nun die fro­he Bot­schaft ins Post­fach: K&M gibt zum 15-jäh­ri­gen Jubi­lä­um des Online-Shops einen Gut­schein aus. Link ankli­cken, Gut­schein per Java-App­let gleich erstel­len las­sen und den Gut­schein­code einlösen.

Der Haken: das Java-App­let küm­mert sich nicht um den Wunsch des Besu­chers nach einem Gut­schein, son­dern ver­folgt eige­ne Inter­es­sen. Eine Schad­rou­ti­ne wird nach­ge­la­den und instal­liert, das Sys­tem des arg­lo­sen Besu­chers ist verseucht.

Kri­sen­ma­nage­ment?

K&M reagier­te, nahm die allem Anschein nach mit­tels SQL-Injec­tion ver­seuch­ten Sys­te­me vom Netz.  und infor­mier­te über die Face­book-Sei­te des Unter­neh­mens. Da auf den befal­le­nen Sys­te­men eben­falls die Mail­funk­tio­nen ablie­fen, konn­ten die betrof­fe­nen Kun­den nicht per Email infor­miert und gewarnt werden.

Mitt­ler­wei­le ist die Sicher­heits­lü­cke geschlos­sen, die Sys­te­me sind wie­der online. Ein Hin­weis im Online-Shop infor­miert Besu­cher über die Phis­hing-Gefahr. Es fehlt jedoch jeg­li­cher Hin­weis auf die zuvor gehack­ten Kun­den­da­ten. Laut Mel­dung des hei­se-Tickers sieht K&M auch kei­ne direk­te Infor­ma­ti­on der Betrof­fe­nen z.B. per Email vor. Wie übri­gens schon zuvor nicht, als in der Ver­gan­gen­heit die Kun­den­da­ten abhan­den gekom­men sind.

Kri­sen­ma­nage­ment und das Ernst­neh­men der Daten­schutz­in­ter­es­sen von Kun­den sehen anders aus. Die­se Ansicht tei­len die meis­ten Kom­men­ta­to­ren der Face­book-Mel­dung vom K&M. Das sel­be Bild zeich­net sich eben­falls in den Foren­bei­trä­gen auf hei­se online ab — “the cus­to­mers are not amu­sed” in Anbe­tracht einer sol­chen Informationspolitik.

Vor­beu­gen ist besser …

… als hin­ter­her die Scher­ben zusam­men­zu­keh­ren. Die­ses State­ment fin­det auf alle pro­mi­nen­ten Daten­pan­nen der letz­ten Tagen und Wochen Anwen­dung. Was emp­fiehlt der Daten­schutz­be­auf­trag­te eines Unter­neh­mens? BSI Grund­schutz­ka­ta­log, regel­mä­ßi­ge Stress­tests und Sicher­heits­up­dates, kon­ti­nu­ier­li­che Sen­si­bi­li­sie­rung der Mit­ar­bei­ter und Unter­neh­mens­lei­tung und … und … und …

Sie haben gar kei­nen Daten­schutz­be­auf­trag­ten? Das könn­te ein Pro­blem sein. Liegt näm­lich eine Bestell­pflicht vor, ris­kie­ren Sie bereits jetzt ein Buß­geld — ganz ohne Daten­pan­ne. Spre­chen Sie uns an — wir prü­fen kos­ten­frei, ob eine sol­che Bestell­pflicht für Ihr Unter­neh­men vorliegt.