Nachdem letzte Woche Hacker in Server der zweitgrößten Handelsgruppe REWE eingedrangen, sind beim zuständigen Landesbeauftragten für Datenschutz, Ulrich Lepper weiterhin einige wesentlichen Fragen offen. Seit dem Vorfalll ist auch die Unternehmenswebseite (www.rewe.de) nicht erreichbar.
Der Inhalt im Überblick
Was ist passiert?
Durch den Hackangriff konnten sich Unbekannte Zugriff auf rund 45.000 Datensätze verschaffen, die neben E-Mail-Adressen auch Passwörter zu von REWE betriebenen Tauschbörsen für Tier- und Fußballbilder verschaffen, die anschließend im Internet veröffentlicht wurden. Bank- oder Kreditkartendaten sollen hiervon jedoch nach Unternehmensangeben nicht betroffen sein.
REWE zieht Konsequenzen
Der Konzern ist sich der Tragweite des Vorfalls bewusst. Neben einer offiziellen Entschuldigung gegenüber den betroffenen Kunden kündigte REWE an, umgehend das gesamte System zu prüfen und Kundendaten nur noch verschlüsselt auf Servern abzuspeichern.
Ein Rewe-Sprecher nahm hierzu wie folgt Stellung:
„Wir machen nach dem Hackerangriff eine komplette Sicherheitsüberprüfung. Deshalb sind die Seiten zeitweise nicht oder nicht vollständig erreichbar. Wir testen jetzt alles, was möglich ist.“
REWE scheint besonnen zu reagieren (die REWE-Seite ist im Rahmen der Wartungsarbeiten seit Tagen offline), doch es drängt sich die Frage auf, wieso man Kundendaten auf Servern speichert, bei denen im Vorfeld nicht klar ist inwieweit diese dort sicher sind…
Aufsichtsbehörde fordert Antworten
Der sich an den Vorfall anschließende Kontrollbesuch der zuständigen Aufsichtsbehörde wirft indes weitere Fragen auf. So bestehen etwa noch Unklarheiten in den Verträgen zur Auftragsdatenverarbeitung (§ 11 BDSG) zwischen REWE und etwa dem Datenbankbetreiber als IT-Dienstleiter sowie zu einzelnen personenbezogenen Daten, die im Rahmen der Registrierung als Pflichtangeben erhoben werden. Auch hier wird REWE wohl noch nachbessern müssen.
Wie schütze ich mich als Betroffener?
Betroffene sollten prüfen, ob das bei REWE genutzte Passwort auch für den eigenen E-Mail-Account genutzt wird, was erfahrungsgemäß leider oft der Fall ist, und dieses gegebenenfalls umgehend ändern. Informationen zum Thema Passwortsicherheit haben wir für Sie hier zusammengestellt.
Ich bin mal gespannt, wie die das umsetzen, denn solche Systeme müssen ja auch die Daten lesen können. Nachdem der Dienstleister ja schon im alten System flächendeckenden Mist gebaut hat, habe ich wenig Hoffnung, dass das gut funktionieren wird.