“Für die Unternehmen der REWE Group sind verlässliche Produktqualität und Sicherheit oberstes Gebot. Darauf können sich unsere Kunden verlassen” — damit wirbt REWE auf seinen Internetseiten. Erst bei genauem Weiterlesen erkennt man, damit sind nur Produkte des Unternehmens gemeint, nicht die Datensicherheit.
Das erkannten vergangene Woche nun auch Computerhacker und machten sich erfolgreich über die IT-Infrastruktur her. Ziel und Opfer der Datenpanne waren zwei Datenbanken mit Namen, Adressen und Passwörtern von Kunden, die an einer Fußballbilder-Sammelaktion und einer Internettauschbörse teilgenommen hatten.
Nach Angaben des Unternehmens waren hierbei keine Bank- und Kreditkartendaten betroffen und die Sicherheitslücke seit Freitag abend geschlossen. Angaben über die Dauer des Datenlecks wurden keine gemacht. In den Pressemeldungen des Unternehmens und er Unternehmensgruppe findet sich nichts zu diesem Vorfall (zum Zeitpunkt des Verfassens dieses Artikels), die Information stammt von der Berliner Morgenpost.
Datenschutz tut Not
Die nicht abreißende Flut an Datenpannen der letzten Wochen zeigt deutlich auf, es steht nicht zum Besten um das Thema Datenschutz in Unternehmen. Nicht ausreichend geprüfte Softwareupdates, monatelang bekannte sträflich vernachlässigte Sicherheitslücken oder auch unzureichende Passwortsicherheit führen die Hitlisten der Gründe für diese Datenpannen an. Fragen Sie doch mal Ihren Datenschutzbeauftragten, was er gegen solche Vorkommnisse an probaten Mitteln bereithält. Sie werden staunen. Apropos: hat Ihr Unternehmen überhaupt einen Datenschutzbeauftragten? Vielleicht droht hier schon das nächste Ungemach in Form eines Bußgelds aufgrund fehlender oder verspäteter Bestellung.
Auf jeden Fall sollten alle Betroffene prüfen, ob das bei REWE genutzte Passwort auch an anderer Stelle zum Einsatz kam. Wenn ja, dann ist schneller Wechsel angesagt.
Update 18.07.2011, 16:27 Uhr:
Mittlerweile ist eine Pressemeldung der REWE Group erschienen.
Update 20.07.2011, 09:45 Uhr:
Der Spiegel berichtet, die Logindaten inkl. Passwörter sind mittlerweile frei im Netz verfügbar. Die Passwörter lagen in den Systemen von REWE in unverschlüsselter Form vor und laden nun zum Mißbrauch ein. Jetzt heisst es für Betroffene schnell reagieren und dieses Passwort überall da zu ändern, wo es möglicherweise noch zum Einsatz kam.
Update 06.08.2011, 09:10 Uhr
heise meldet im Ticker, die Kölner Polizei habe den mutmaßlichen Täter ermittelt. Es soll sich dabei um einen 23-jährigen handeln, der zur Zeit flüchtig ist. Der Verdächtige hat sich in einschlägigen Hackerforen im Internet über seine Vorgehensweise beim Eindringen in die REWE-Systeme geäußert.
Bedauerlicherweise führten diese Anleitungen zu weiteren Angriffen, so die Kölner Kripo. Weitere Datenverluste bis zu Abschaltung der Systeme seien durchaus im Bereich des Möglichen.
Da die gehackten Kundendaten mittlerweile im Internet veröffentlicht wurden, kann der Appell an mögliche Betroffene nur dringend wiederholt werden, mehrfach verwendete Passwörter schleunigst zu ändern, um Mißbrauch zu vermeiden.
Hilfreiche Datenschutz-Links
- Wollen Sie die Risiken aus dem Bundesdatenschutzgesetz für Ihr Unternehmen minimieren? Eine passende Lösung finden Sie sicher in unserem Leistungsangebot.
- Unsicher, ob für Ihr Unternehmen die gesetzliche Bestellpflicht für einen (externen) Datenschutzbeauftragten vorliegt? Die Antwort gibt unser Datenschutz-Quick-Check, siehe Leistungen.
- Sie wollen eine unabhängige Prüfung, wie gut es um Datenschutz und Datensicherheit in Ihrem Unternehmen bestellt ist? Kein Problem mit unseren Leistungen.
- Schulungsbedarf für Ihre Mitarbeiter? Zusätzliche Trainings und Workshops rund um Datenschutz und Datensicherheit? Erfahren Sie mehr über unsere Schulungen und Seminare.
- Anleitungen, Ratgeber und Links, die das tägliche Arbeiten erleichtern und helfen können, Datenpannen zu vermeiden, finden Sie in der Rubrik Anleitungen / Ratgeber.
