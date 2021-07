René Resch

Komplette Anschriften, Kontodaten, Bestellungen und zum Teil sogar Bankverbindungen waren recht offen im Netz zugänglich – schuld an der Datenpanne hat ein Dienstleister.

Vergrößern Check24, Otto & Co.: 700.000 Kundendaten waren im Netz © wk1003mike/shutterstock.com

Eine Sicherheitslücke eines Dienstleisters hat die Kundendaten von rund 700.000 Kunden offengelegt - das berichtet der Spiegel.

Betroffen sind dabei Kunden, die bei kleineren Händlern auf großen Online-Marktplätze wie etwa Kaufland, Otto, Check24 oder Idealo einkaufen. In den Daten ließen sich Transaktionen seit Sommer 2018 einsehen. Hierzu zählt wer, zu welchem Zeitpunkt und was gekauft wurde – samt Anschrift und in vielen Fällen sogar mit der dazugehörigen Bankverbindung.

Betroffene Händler sind über die Nachricht besorgt. Ein Sprecher von Otto gab gegenüber Spiegel an, dass der Vorfall "zum Anlass genommen werde, den gesamten Prozess infrage zu stellen" und gegebenenfalls zu überarbeiten. Die Zugänge der Händler seien vorerst vollständig gesperrt worden. Auch weiter Unternehmen wollen die Sache prüfen und im Anschluss handeln.

Dienstleister ist schuld

Die Datenpanne ist jedoch nicht den Händlern selbst zuzuschreiben: Das Leck entstand bei einem Dienstleister, bei dem Einzelhändler sich über Schnittstellen an Marktplätze im Web anbinden lassen – gewissermaßen fungiert dieser als Mittler zwischen Händler und Online-Handelsplattformen. Eine direkte Vertragsbeziehung haben nur die Händler mit den Firmen, die Marktplätze selbst allerdings nicht. Solche "Schnittstellen" gibt es jedoch einige.



Bei Bestellungen sind die Händler für den Schutz der Kundendaten verantwortlich, diese müssen natürlich geschützt werden. Der Otto-Sprecher gab dazu an: "Ein solcher Vorfall, hervorgerufen durch einen Dritten, zu dem wir keine Vertragsbeziehung unterhalten, ist dann sehr schädlich."

Das Datenleck wurde von einem IT-Spezialisten entdeckt, der im Auftrag eines Einzelhändlers ein technisches Problem zwischen dem Schnittstellen-Dienstleister "Modern Solution" und dem Händler beseitigen sollte. Der Experte stieß daraufhin auf die riesige Sicherheitslücke. Der Vorfall zeigt, wie sorglos hier mit den Kundendaten umgegangen wird.

Die aus Gelsenkirchen stammende Firma hatte in der eigenen Software, die Händler bei sich installieren müssen, einfach auslesbare Zugangsdaten zu diesem Server hinterlegt – diese galten zudem auch für alle Kunden. Als Folge konnte man als Kunde von Modern Solution auf dem Dienstleister-Server die Kunden-Datenbanken samt Transaktions-Informationen einsehen.

"Man muss sich vorstellen, da ist ein Programm, das alle Daten aller Händler und von deren Marktplätzen aggregiert. Und dann hatten die für ihre Datenbanken das Passwort im Klartext und ohne Verschlüsselung hinterlegt, Kundendaten obendrein auf dem Server seit Jahren nicht gelöscht", sagt der IT-Experte zu dem Vorfall. Die Händler-Zugangsdaten hätte man theoretisch sogar über eine Google-Suche finden können.

Dienstleister schlampt weiter

Modern Solution wurde zwischenzeitlich über die Datenpanne informiert, erste Reparaturversuche waren allerdings offenbar untauglich, dies bestätigten auch Aussagen von Otto: "Als Modern Solution vorgab, die Sicherheitslücke gefixt zu haben, stellten wir fest, dass das System weiterhin unsicher war." Kurzerhand habe man dann die Zugänge komplett gesperrt. Eine Anbindung an den Shop für Händler ging nur noch über direktem Weg. Darüber seien auch die Händler informiert worden.

Die Website von Modern Solution ist seit einigen Tagen durch einen Liveticker ersetzt, der Umbaumaßnahmen der Firma dokumentiert. Auf Spiegel-Anfragen habe Modern Solution bisher nicht reagiert.