Datenpanne

150.000 Datensätze von Schlecker-Kunden offen zugänglich (U)

Durch ein bereits geschlossenes Leck waren über die Webseiten der Drogeriekette Schlecker die Daten von über 150.000 Kunden des Unternehmens einsehbar. Name, Adresse, E-Mail und auch Kaufverhalten konnten von jedermann abgerufen werden. Ob die Datenbank bereits in falsche Hände geraten ist, ist nicht bekannt. Schlecker hat Anzeige erstattet.

Einem Bericht der Bild zufolge wurde das Datenleck am Donnerstag, dem 26. August 2010 geschlossen - wie lange es bestand, geht aus der Meldung nicht hervor. Der Darstellung des Boulevardblatts zufolge sollen die Daten "mit wenigen Mausklicks" über das Internet zugänglich gewesen sein. Die Art der Sicherheitslücke wird nicht näher beschrieben. Die Schlecker-Webseite soll aber die vollständigen Daten von über 150.000 Kunden des Unternehmens preisgegeben haben.

Eine solche Datenbank ist bei Adresshändlern sehr begehrt, weil sie nicht nur vollständige Angaben über die Anschrift und die E-Mail-Adresse, sondern auch das Kundenprofil enthält. Offenbar waren auch die in Schleckers Onlineshop gekauften Artikel einsehbar. Zusätzlich sollen noch 7,1 Millionen E-Mail-Adressen ohne weitere Angaben abrufbar gewesen sein. Diese Personen hatten sich für den Newsletter der Drogeriekette registriert.

Entdeckt hatte die Lücke der deutsche Unternehmer Tobias Huch, den die Bild jetzt als "Datenschützer" bezeichnet. Huch war bereits mehrfach in die Schlagzeilen geraten, zuletzt, als er nachweisen konnte, einen wesentlichen Teil der Ende 2008 bei der Telekom entwendeten Daten von 17 Millionen Kunden zu besitzen. Zuvor hatte seine Huch Medien GmbH, die eigene Erotikangebote mit Altersprüfung betrieb, gegen deutsche Provider geklagt, weil diese Erotikseiten aus dem Ausland ohne Altersprüfung zugänglich machten. Huch fordert seinerseits eine Abschaffung des Pornografieverbots.

Hintertür durch ungeschütztes Skript

Tobias Huch sagte Golem.de, die Sicherheitslücke habe an einer Shell-Datei gelegen, die ungeschützt im Root-Verzeichnis des Webservers abgelegt war. Der Name der Datei war leicht zu erraten. Das Skript loggte den Benutzer dann in die Datenbank von Schlecker ein. Huch vermutet, dass es sich bei dem Skript um eine absichtlich angebrachte Hintertür zur Wartung handelte.

Den Namen des Providers, der seine Server so unzureichend gesichert hatte, wollte Tobias Huch nicht nennen. Ebenso sei nicht gewiss, wie lange die Lücke schon bestanden habe. Die von Huch eingesehenen und zum Teil lokal gespeicherten Daten sind laut Darstellung des Unternehmers noch vor Erscheinen des Bild-Berichtes unter Aufsicht des Datenschutzbeauftragen von Rheinland-Pfalz vernichtet worden.

Nachtrag vom 27. August 2010, 12:45 Uhr:

Schlecker äußerte gegenüber Golem.de: "Das Datenleck wurde sofort entdeckt und umgehend geschlossen". Zudem sei es, wie Tobias Huch erklärte hatte, nicht auf den Servern von Schlecker, sondern bei einem externen Dienstleister aufgetreten.

Dort vermutet die Drogeriekette aber eine ganz andere undichte Stelle: "Der illegale Zugriff war offenbar nach einem internen Angriff möglich", meint Schlecker. Deshalb habe das Unternehmen bereits Anzeige gegen unbekannt erstattet. Die Daten seien zudem nicht öffentlich einsehbar gewesen, sondern "nur durch technisch versierte Personen mit genauer Kenntnis der Quelle." Es habe deshalb nur wenige unbefugte Zugriffe auf die Daten gegeben.

Schlecker bedauert die bei den betroffenen Kunden entstandenen Unannehmlichkeiten und will sich mit diesen Menschen in Verbindung setzen. Nach Darstellung von Schlecker waren "keine sensiblen Kundendaten wie etwa Passwörter, Kontonummern oder andere Zahlungsdaten sowie Kaufinformationen in den Datensätzen enthalten". Das widerspricht der Darstellung von Bild, die von "Kundenprofilen" mitsamt Einkaufsverhalten berichtete.