Mehr oder weniger heiter weiter
heise security informiert heute im Newsticker über einen aktuellen Mißbrauch von Kundendaten nach einer bereits länger zurückliegenden Datenpanne — dieses Mal bei dem bekannten Elektronikhändler K&M Elektronik. Damit reiht sich das Unternehmen in eine stetig wachsende Liste illustrer Markenunternehmen mit Datenpannen ein.
Seit 2009 in den Händen von Hackern
Wie das Unternehmen gegenüber dem Verlag bestätigte, ist die Kundendatenbank bereits im November 2009 in die Hände von Hackern gefallen, Anschriften und EMail-Adressen inklusive. Trotz weiterer Sicherheitsmaßnahmen wurden im Mai 2011 erneut Kundendaten entwendet.
Phishing frei Haus
Die betroffenen Inhaber der gestohlenen Email-Adressen erhielten nun die frohe Botschaft ins Postfach: K&M gibt zum 15-jährigen Jubiläum des Online-Shops einen Gutschein aus. Link anklicken, Gutschein per Java-Applet gleich erstellen lassen und den Gutscheincode einlösen.
Der Haken: das Java-Applet kümmert sich nicht um den Wunsch des Besuchers nach einem Gutschein, sondern verfolgt eigene Interessen. Eine Schadroutine wird nachgeladen und installiert, das System des arglosen Besuchers ist verseucht.
Krisenmanagement?
K&M reagierte, nahm die allem Anschein nach mittels SQL-Injection verseuchten Systeme vom Netz. und informierte über die Facebook-Seite des Unternehmens. Da auf den befallenen Systemen ebenfalls die Mailfunktionen abliefen, konnten die betroffenen Kunden nicht per Email informiert und gewarnt werden.
Mittlerweile ist die Sicherheitslücke geschlossen, die Systeme sind wieder online. Ein Hinweis im Online-Shop informiert Besucher über die Phishing-Gefahr. Es fehlt jedoch jeglicher Hinweis auf die zuvor gehackten Kundendaten. Laut Meldung des heise-Tickers sieht K&M auch keine direkte Information der Betroffenen z.B. per Email vor. Wie übrigens schon zuvor nicht, als in der Vergangenheit die Kundendaten abhanden gekommen sind.
Krisenmanagement und das Ernstnehmen der Datenschutzinteressen von Kunden sehen anders aus. Diese Ansicht teilen die meisten Kommentatoren der Facebook-Meldung vom K&M. Das selbe Bild zeichnet sich ebenfalls in den Forenbeiträgen auf heise online ab — “the customers are not amused” in Anbetracht einer solchen Informationspolitik.
Vorbeugen ist besser …
… als hinterher die Scherben zusammenzukehren. Dieses Statement findet auf alle prominenten Datenpannen der letzten Tagen und Wochen Anwendung. Was empfiehlt der Datenschutzbeauftragte eines Unternehmens? BSI Grundschutzkatalog, regelmäßige Stresstests und Sicherheitsupdates, kontinuierliche Sensibilisierung der Mitarbeiter und Unternehmensleitung und … und … und …
Sie haben gar keinen Datenschutzbeauftragten? Das könnte ein Problem sein. Liegt nämlich eine Bestellpflicht vor, riskieren Sie bereits jetzt ein Bußgeld — ganz ohne Datenpanne. Sprechen Sie uns an — wir prüfen kostenfrei, ob eine solche Bestellpflicht für Ihr Unternehmen vorliegt.