- Werbung -

Offenbar ist das ZDF einem weiteren Fall von Datenmissbrauch oder sogar Datendiebstahl auf die Spur gekommen. Kürzlich erhielt ich folgende E-Mail mit dem Absender Zweites Deutsches Fernsehen / Redaktion WISO <wiso-datendiebstahl@wiso.de> und folgendem Inhalt:

"Hallo, Eigentümer der E-Mailadresse ,

Sie erhalten diese Mail von uns, weil wir auf einen datenschutzrechtlich problematischen Sachverhalt aufmerksam gemacht wurden, der Ihre E-Mail-Adresse betrifft.

Ihre E-Mail-Adresse und das Passwort *xxxxxx** (Zu Ihrer Sicherheit wurde das Passwort gekürzt [Anmerkung des Autors: Die "x" enthielten in der Originalmail Teile des Passwortes im Klartext. Die Sternchen machten den Rest des Passwortes unkenntlich]) befinden sich nach unseren Recherchen auf einem im Internet frei zugänglichen, in China beheimateten Server.

Die Daten scheinen aus einem Datendiebstahl zu stammen, die Datendiebe haben versucht, sich mit Hilfe dieser Kombination aus Mail-Adresse und Passwort Zugang zu Online-Bezahldiensten zu verschaffen. "

Und weiter heißt es:


"Die Daten selbst stammen nach ersten Erkenntnissen aus einer Datenbank, die nichts mit Finanzdienstleistungen zu tun hat und bei der Sie sich in der Vergangenheit einmal angemeldet haben.

Möglicherweise nutzen Sie diese Kombination aus E-Mail-Adresse und Passwort für weitere Internet-Dienste, etwa für Ihren Mail-Account, zum Anmelden bei Online-Shops oder auf anderen Webseiten. In diesem Fall raten wir Ihnen dringend, auf jeder einzelnen dieser Seiten Ihr Passwort unverzüglich zu ändern, bevor irgendjemand aus dem Vorhandensein dieser Daten im Internet einen Vorteil ziehen kann."

Es folgten dann noch einige Hinweise für einen sicheren Umgang mit Passwörtern, sowie ein Link zu einer Umfrage auf der ZDF-Homepage (die mittlerweile beendet ist), wo man anonym Angaben machen konnte; diese Angaben sollten die Recherche für den Bericht in der ZDF-Sendung WISO am 8. September unterstützen. Natürlich benutze ich niemals ein Passwort für Bezahldienste oder Online-Banking, dass ich noch irgendwo anders verwende - nicht einmal die Mailadresse. Die fehlenden Stellen in dem Passwort machten es leider unmöglich, genau zu bestimmen auf welcher Webseite diese Kombination zum Einsatz kam. Klar war lediglich, dass die möglichen Passwörter vor längerer Zeit zum Einsatz kamen. Darüber hinaus war die Mailadresse keine meiner "Wegwerf-Adressen" von GMX oder Ähnlichen, die ich für die Anmeldung bei Webseiten verwende, wo ich damit rechnen muss, dass sie für Spam-Zwecke missbraucht werden. Der Kreis der Verdächtigen umfasste damit mehrere Webseiten, bei denen die Mailadresse als Login-Name verwendet wurde, oder zumindest diese Mailadresse hinterlegt war, der Login-Name jedoch ein anderer war. Und auf der Verdächtigenliste standen prominente Namen! Gut einen Tag später wurde dann klar, wem da wohl Daten abhanden gekommen waren. Da erreichte mich nämlich ein Mail von PricewaterhouseCoopers (PwC) und darin hieß es:

"Sehr geehrte Damen und Herren,

aus aktuellem Anlass möchten wir Sie darüber informieren, dass unbekannte
Daten-Hacker einen Angriff auf eine externe Servicedatenbank für
Jobsuchende durchgeführt haben. PricewaterhouseCoopers (PwC) hat diese von
einem externen Serviceprovider betriebene Internet-Seite genutzt, um
Kandidaten die Bewerbung bei PwC zu ermöglichen. Leider müssen wir Ihnen
mitteilen, dass Ihre Daten von diesem rechtswidrigen Angriff auf unsere
Systeme betroffen sein könnten."

So weit so schlecht. Es folgt dann das, in solchen Fällen übliche, Bedauern über den Vorfall, dass der Zugang zu der Datenbank stillgelegt wurde und man selbstverständlich unverzüglich  die Staatsanwaltschaft eingeschaltet habe. Natürlich darf auch die Empfehlung nicht fehlen, dass man doch bitte sein Passwort auf allen genutzten Webeiten ändern möge (meint PwC etwa, dass die User nur ein Passwort für alles nutzen?). Gestutzt habe ich dann aber bei der folgenden Passage, wo auf die möglichen Folgen des Datendiebstahls hingewiesen wurde. Da heißt es dann wörtlich:

"Unmittelbar eingeleitete Stichproben-Untersuchungen
legen die Vermutung nahe, dass die Hacker die gestohlenen Adressen vor
allem für Spam-Mails missbrauchen. Darüber hinaus sind E-Mail-Adressen und
Passwörter neben Daten aus den Beständen anderer Unternehmen auf einem
chinesischen Server aufgetaucht."

Hoppla, das klang in der Mitteilung vom ZDF aber anders. Darin wurde man gewarnt, dass die Datendiebe mit der Kombination aus Mail-Adresse (als Loginname) und Passwort versucht hätten, Zugang zu Bezahldiensten zu erlangen. Ein derartiger Versuch ist im Übrigen absolut plausibel. So verwendet beispielsweise PayPal tatsächlich eine E-Mailadresse für den Login. Wenn User also die gleiche Kombination wie bei PwC auch bei PayPal verwenden - und die Chancen dürften nicht allzu schlecht stehen bei 56.000 Datensätzen - dann hätten die Kriminellen Zugriff auf den Account! Und das dürfte wohl weitaus unangenehmer sein, als ein paar Spam-Mails, die wahrscheinlich eh ausgefiltert werden. Aber diese unangenehme Wahrheit wollte man bei PwC den Geschädigten scheinbar nicht zumuten. Wieder einmal ein Fall, wo ein Unternehmen Dienste an Dritte "outsourced" und wo dann mit den Daten Schindluder getrieben wird. Vielleicht sorgen die zahlreichen Vorkommnisse der jüngsten Zeit dafür, dass bei den Verantwortlichen in den Unternehmen ein Umdenken stattfindet und nicht länger die berechtigen Datenschutzinteressen Dritter der Optimierung des Betriebsergebnisses geopfert werden.

Kommentare