Datenpanne bei Neckermann: 1,2 Millionen Gewinnspielteilnehmer betroffen
1,2 Millionen Datensätze gehackt
Laut eigener Pressemitteilung vom 31.05.2011 wurde die neckermann.de GmbH Opfer eines Hackerangriffs. Am 26.05.2011 nahmen Hacker Zugriff auf die IT-Systeme und entwendeten die Daten von 1,2 Millionen Gewinnspielteilnehmern. Adress- und Zahlungsdaten gingen keine verloren. Betroffen sind laut Neckermann lediglich Vorname, Name und Email-Adressen — vorwiegend aus Deutschland. Attackiert wurde ein Nebensystem, nicht der eigentliche Online-Shop.
Der Nebeneingang
Glück im Unglück. Schnell ist der Zugriff über Nebensysteme auch auf relevante Hauptsysteme möglich, sofern in den Sicherungsmechanismen überhaupt unterschieden wird.
Krisenmanagement
Neckermann hat nach Bekanntwerden Anzeige gegen Unbekannt erstattet und die Systemsicherheit wieder hergestellt. Die betroffenen Teilnehmer seien über den Angriff informiert und es stünde nun eine kostenfreie Hotline unter 0800 / 664 69 87 für Rückfragen zur Verfügung.
Obwohl nach eigener und externer Einschätzung keine meldepflichtige Datenpanne vorliege, habe man dennoch die Landesdatenschutzbehörde über den Vorfall informiert.
Im Gegensatz zu anderen Pannenkandidaten der jüngsten Zeit — wie z.B. Sony — hat hier ein Unternehmen gemerkt, daß Offenheit in Verbindung mit einem funktionsfähigen Krisenmanagement die bessere Verfahrensweise darstellen. Daumen hoch, trotz Panne.
Der Trugschluss — Unsere Systeme sind sicher
Die aktuellen Vorfälle zeigen klar auf: das Risiko steigt immens durch immer höheren Einsatz von IT-Systemen und deren weltweite Vernetzung Opfer eines Angriffs zu werden. Wer sich in Sicherheit wiegt, ist auf dem Holzweg. Hinter jedem IT-System stehen Menschen — in der Administration und in der Programmierung -, und Menschen machen Fehler.
Abhilfe
Vorbeugen ist besser als hinterher die Scherben einer Datenpanne zusammenzukehren. Nicht jedes Unternehmen hat eine Marktposition, um die Negativpresse samt Imageschaden einer Datenpanne zu überstehen. Konsequente Ausgestaltung der IT-Systeme nach den IT-Grundschutzkatalogen des BSI und ein aktives Datenschutzmanagement in Zusammenarbeit mit dem Datenschutzbeauftragten können Pannen nicht verhindern, aber die Wahrscheinlichkeit deutlich reduzieren.
Sie haben keinen Datenschutzbeauftragten? Dann wird es vielleicht höchste Zeit. Liegt eine gesetzliche Bestellpflicht vor, setzen Sie Ihr Unternehmen auch ganz ohne Datenpanne schon einem Bußgeldrisiko aus. Sprechen Sie mich an.
- Lesenswerter Beitrag zum Thema auf datenschutzbeauftragter-info.de