Menü
iX Magazin

Daten-Lecks: Wer erwischt wird, lernt (vielleicht) dazu

Erneut lagen hunderttausende Datensätze ungeschützt auf einer Website. Unternehmen sammeln heutzutage bedenkenlos riesige Mengen Kundendaten - und gehen fahrlässig damit um. Doch vielleicht ist der Schaden heilsam, findet iX-Autor Thorsten Kraft.

Von
vorlesen Drucken Kommentare lesen
Daten-Lecks: Wer erwischt wird, lernt (vielleicht) dazu

Und schon wieder lagen einige hundert Gigabyte sensibler Daten im Netz: Echtdaten von etwa 600.000 Bestandskunden der Fitness-App iFit, die auf einem unzureichend abgesicherten Testsystem abgegriffen werden konnten und Auskünfte über den Gesundheitszustand ihrer Nutzer geben. Inwieweit der Anbieter der Software überhaupt erwägt, seine Kunden über den sorglosen Umgang mit deren Daten zu informieren, ist bisher ungeklärt.

Denkbar, dass er das Benachrichtigen der Kunden für ähnlich "sinnlos" hält wie der ADAC. Ein Teil von dessen Mitgliederdaten war über Wochen im Internet offen einsehbar. Nach Bekanntwerden verzichtete der ADAC jedoch darauf, die betroffenen Mitglieder persönlich zu informieren. Auf Facebook darauf angesprochen, antwortete der ADAC, der Vorfall sei schließlich nach § 42a des Bundesdatenschutzgesetzes (BDSG) nicht meldepflichtig gewesen.

Ein iX-Kommentar von Thorsten Kraft

(Bild: 

cyscon GmbH

)

Thorsten Kraft ist seit 1999 im Bereich der IT-Sicherheit aktiv. Er hat eine Reihe internationaler und nationaler Initiativen im „Kampf gegen Kriminalität im Internet“ initiiert und wird regelmäßig als Sprecher auf internationalen Konferenzen zum Thema Botnetze, Malware & Cybercrime-Bekämpfung angefragt. Er schreibt gelegentlich für das Magazin iX.

Doch damit nicht genug: Der Betreiber der mit Tinder vergleichbaren Dating-Platform HZoneApp gab vor einigen Tagen bekannt, dass auch bei ihm Datensätze von Nutzern in fremde Hände gerieten. Hier ist der Datenabgriff erst recht besorgniserregend, denn die Nutzer der Dating-App teilen alle dasselbe Schicksal: Sie sind HIV-positiv. Wer nun versucht, das Unternehmen dahinter ausfindig zu machen, findet keinerlei Anbieterinformationen, weder auf den Webseiten selbst noch in den WHOIS-Einträgen der Domain.

Fälle wie die von iFit und HZone verdeutlichen, wie leicht es ist, riesige Datenmengen zu sammeln. Doch anscheinend treten Unternehmen das in sie gesetzte Vertrauen mit Füßen: Sie betreiben ungeschützte Datenbanken, verwaiste Testsysteme oder ungepatchte Server- und Softwareversionen. Selbst XSS- oder SQL-Injection-Lücken finden sich zuhauf – und das in einer Zeit, in der solche Schwachstellen eigentlich Geschichte sein sollten. Der fahrlässige Umgang mit Anwenderdaten kennt anscheinend keine Grenzen.

Daher ist es auch nicht erstaunlich, dass einer Umfrage zufolge bereits jeder fünfte Anwender bereit ist, einem Unternehmen mehr zu vertrauen, wenn es bereits einen Datenverlust hinter sich hat, da er dann eher annehmen kann, dass es sensibilisiert ist. Mit dieser Einschätzung liegt der Anwender aus meiner Sicht leider richtig. Denn es gibt nur zwei Arten von Firmen: Die, die gehackt worden sind – und die, die es noch nicht gemerkt haben, da sie die Daten, ihre eigenen Kunden oder gar sich selbst nicht ernst genug nehmen. Letzteres mag vielleicht berechtigt sein – dennoch möchte ich, dass meine Daten sicher aufbewahrt werden. (Thorsten Kraft) / (tiw)