150.000 Kundeprofile, über 7 Millionen Email-Adressen: Daten von Onlinekunden der Schlecker-Kette waren wochenlang im Netz abrufbar. Die Firma spricht von einem "Angriff".
Illegaler Datenzugriff durch "internen Angriff"? Nach Bekanntwerden der Datenpanne hat die Drogeriekette Schlecker Anzeige gegen unbekannt erstattet. Bild: dpa
BERLIN taz | Datensätze von über 150.000 Schlecker-Online-Kunden waren bis Donnerstag über das Internet zugänglich; zudem seien dort 7,1 Millionen E-Mail-Adressen von Newsletter-Kunden abrufbar gewesen. Das sagte der Medienunternehmer Tobias Huch, der das Leck entdeckte, am Freitag der taz. Zu den betroffenen Daten gehörten Vor- und Nachname, Adresse, Geschlecht, E-Mail-Adresse und Kundenprofil.
Schlecker bestätigte das Datenleck, betonte aber, dass "keine sensiblen Kundendaten" wie etwa Passwörter, Kontonummern oder andere Zahlungsdaten sowie Kaufinformationen in den Datensätzen enthalten gewesen seien. Die Panne trat nicht im Online-Shop selbst auf, sondern bei einem externen Dienstleister.
"Man musste kein Hacker sein, um an diese Daten zu kommen. Mit Grundkenntnissen über den Aufbau von Webseiten und Datenbanken waren die leicht zu finden", sagte Tobias Huch, der schon 2008 einen Datenskandal bei T-Mobile aufdeckte.
Schlecker erklärte dagegen, dass die Daten nicht öffentlich im Internet einsehbar gewesen seien, sondern nur von technisch versierten Personen mit genauer Kenntnis der Quelle hätten erreicht werden können. Der illegale Zugriff auf die Daten sei offenbar durch einen "internen Angriff" möglich geworden. Schlecker habe Anzeige gegen unbekannt erstattet. Das Leck sei nach der Entdeckung umgehend geschlossen worden; die betroffenen Kunden würden schnellstmöglich informiert.
Es sei fest davon auszugehen, dass sich Unbefugte Zugang zu den Daten verschafft haben, sagt Huch. "Das war wie ein Tresor, bei dem die Tür offen steht - und zwar seit mehr als vier Wochen." Zu den betroffenen Daten gehörten auch Kundenprofile. Damit könnten zum Beispiel Online-Apotheken gezielt Schlecker-Kunden, die sich für Medikamente interessieren, mit Namen und Adresse anschreiben. Schuld an der Sicherheitslücke sei zwar in erster Linie der Online-Dienstleister, meint Tobias Huch. Schlecker hätte aber besser prüfen müssen.
"Wir werden die Daten, die der Finder heruntergeladen hat, prüfen und dann löschen", sagte Helmut Eiermann, Mitarbeiter vom Landesbeauftragten für den Datenschutz in Rheinland-Pfalz, der taz. "Solche Datenpannen häufen sich", so Eiermann. Grund: Firmen setzten verstärkt externe Dienstleister ein. "Wenn Sie zum Beispiel ein anderes Unternehmen beauftragen, ein Callcenter für Sie zu unterhalten, geben Sie denen auch Zugang zu Ihren Kundendaten." Dadurch erhöhe sich auch das Risiko, dass sie nach draußen gelangen, so Eiermann.
Ahmed Schafik und Mohammed Mursi haben die erste Wahlrunde beinahe gleichauf gewonnen und rüsten sich für die Stichwahl. Die Muslimbrüderschaft hofiert die ausgeschiedenen Kandidaten.
Starre Rituale, öde Debatten, ein Haus der Langeweile? Nicht in der Ukraine! Hier werden Parlamentsdebatten noch mit Leidenschaft, Herzblut und handfesten Argumenten geführt!
Echte Stars, begeisterte Fans, prima Shopping-Tipps - wir freuen uns auf die Fußball-Europameisterschaft.
Weltraumtouristen, Satelliten und Versorgungsflüge zur ISS – die Raumfahrt wird privatisiert und kommerzialisiert.
Es ist ein echtes großes Drama, das sich da in Griechenland abspielt. Ein Drama über die Demokratie, die Unregierbarkeit. Dieses Wort muss man sich auf der Zunge zergehen lassen. Und das Drama genießen.
Leserkommentare
31.08.2010 11:55 | Matze
Schlimm das es immer wieder solche Lücken gibt. Schlimmer noch, dass es Leute gibt, die sie ausnutzen statt sich an den ver ...
29.08.2010 19:04 | Nico
Interner Angriff duch inkompetente Mitarbeiter.
28.08.2010 00:45 | Juergen K
Laut Quelle (http://de.biz.yahoo.com/yahoo/editorial/schlecker_datenpanne.html) ...