30.10.2009 · Markus Beckedahl betreibt eines der bekanntesten Blogs in Deutschland: netzpolitik.org. In dieser Woche wurden ihm private Daten aus Netzwerken und Online-Shops zugespielt, um auf Sicherheitslücken aufmerksam zu machen.
© Franz Patzig
Blogger Markus Beckedahl von netzpolitik.org
Markus Beckedahl betreibt eines der bekanntesten Blogs in Deutschland: netzpolitik.org. In dieser Woche wurden ihm private Daten aus Netzwerken und Online-Shops zugespielt, um auf Sicherheitslücken aufmerksam zu machen.
Herr Beckedahl, Sie betreiben „Netzpolitik.org“ und haben jüngst Datenlecks bei SchülerVZ und nun bei dem Online-Buchhändler Libri.de aufgedeckt. Wie kommen Sie an die Fälle?
Seit sieben Jahren berichten wir über Datenschutz und Netzpolitik und haben uns eine treue Leserschaft aufgebaut, die technikaffin ist und ein Bewusstsein für Datenschutz hat. Unsere Leser sind die Informanten. Sie wollen, dass die Fälle öffentlich und die Anbieter in Sachen Datenschutz unter Druck gesetzt werden.
Warum wenden sich Ihre Informanten nicht gleich an Datenschützer?
Datenschützer wirken wie eine Behörde. Die Informanten glauben, dass ihre Informationen bei uns in guten Händen sind. Wir können mit unseren Kontakten dafür sorgen, dass man den Datenlecks nachgeht.
Wie lief es mit libri.de?
Am Mittwoch bekamen wir einen Hinweis von einem Libri-Kunden, dass man durch einfaches Verändern Zugriff auf 500.000 Rechnungen hat. Darüber berichteten wir am Donnerstag. Daraufhin gab es einen Tipp von einer zweiten Quelle, dass man seit mehr als eineinhalb Jahren leicht auf sehr viele der über 1000 Shops von Libri.de zugreifen kann. Es gab hier eine schlampige Sicherheitsumsetzung: Neue Shops bekamen von libri.de immer nur Zugangsdaten, die eine Zahl weiter hoch waren. Die meisten Shopbetreiber vergaßen, das Standardpasswort zu ändern. Wir haben das bei den ersten vier Shops getestet. Dort hatten wir Zugriff auf das komplette Warewirtschaftssystem der Buchhandlung um die Ecke.
War für einen wirtschaftlichen Schäden hätten Sie anrichten können?
Wir hätten das wohl so ändern können, dass alle Zahlungen über unser Konto laufen. Da hätten die Shops selbst wahrscheinlich gar nicht mitbekommen. Und wenn man herausfindet, dass ein Kunde ein Buch über Depressionen oder Aids gekauft hat, kann man daraus schließen, dass er die Krankheit hat, aber nicht will, dass jemand davon Wind bekommt. Mit krimineller Energie hätte man das gegen die Personen verwenden können.
Ist das jetzt nicht mehr möglich?
Libri hat mitgeteilt, dass man die beiden Sicherheitslücken geschlossen hat.
Ist Schaden für die Kunden entstanden?
Libri meint nach Durchsicht der Daten, dass niemand mit krimineller Energie darauf Zugriff hat. Deswegen ist von einem Schaden nichts bekannt. Für Libri ist es vor allem ein Vertrauensschaden.
Was können Unternehmen machen, damit ihre Daten sicher sind?
Es gibt keine hundertprozentige Sicherheit. Man kann die Systeme abschotten, immer sofort Sicherheitslücken schließen und externe Dienstleister die Sicherheit überwachen lassen. Das sollte aber besser nicht der Tüv-Süd machen, der auch Libri ein Sicherheitssiegel gegeben hat.
Warum gibt es gerade in jüngster Zeit so viele Datenpannen?
Erst jetzt nehmen viele Nutzer Sicherheitslücken war, die Medien erzeugen mit Berichterstattung mehr Bewusstsein.
