Bitte deaktivieren Sie Ihren Ad-Blocker

Für die Finanzierung unseres journalistischen Angebots sind wir auf die Anzeigen unserer Werbepartner angewiesen.

Klicken Sie oben rechts in Ihren Browser auf den Button Ihres Ad-Blockers und deaktivieren Sie die Werbeblockierung für FR.de. Danach lesen Sie FR.de gratis mit Werbung.

Lesen Sie wie gewohnt mit aktiviertem Ad-Blocker auf FR.de
  • Zum Start nur 0,99€ monatlich
  • Zugang zu allen Berichten und Artikeln
  • Ihr Beitrag für unabhängigen Journalismus
  • Jederzeit kündbar

Sie haben das Produkt bereits gekauft und sehen dieses Banner trotzdem? Bitte aktualisieren Sie die Seite oder loggen sich aus und wieder ein.

Glasfaserkabel führen zu einem Internet Switch in einem Serverraum. (Symbolbild)
+
Glasfaserkabel führen zu einem Internet Switch in einem Serverraum. (Symbolbild)

Sicherheitslücke

Nach Veröffentlichung von Datenleck – Hausdurchsuchung bei IT-Spezialist

  • Sophia Lother
    VonSophia Lother
    schließen

Ein IT-Spezialist macht auf ein Datenleak aufmerksam, das potenziell hunderttausende Onlinehändler betrifft. Doch statt eines Dankes steht plötzlich die Polizei vor seiner Tür.

Frankfurt - Datenleaks sorgen auch in Deutschland immer wieder für Aufsehen, vor allem wenn potenziell Hunderttausende Kund:innen betroffen sind. So geschah es auch im Juli 2021. Ein IT-Experte kam dem Leck auf die Spur und machte öffentlich, wie einfach es war, auf sensible Daten wie Bezahlinformationen von Kunden großer Online-Shops zuzugreifen. Nutzer:innen von Markplätzen wie Check24, Kaufland und Otto waren potenziell betroffen.

Das Problem verbarg sich hinter einer Sicherheitslücke. Durch diese konnten Informationen von Kund:innen ausgelesen werden, die bei kleineren Händlern auf den Onlinemarktplätzen einkauften. Laut Informationen des Spiegels waren bis zu 700.000 Endkunden betroffen. Das Datenleck lag jedoch nicht bei den Händlern selbst, sondern bei einer Firma, die als Schnittstellendienstleister fungierte. Ein IT-Experte entdeckte das Leak - und wurde dafür angezeigt.

Check24, Otto und Co. – Datenleck betrifft potenziell hunderttausende Kunden

Der besagte Schnittstellendienstleister, Modern Solutions, unterstützen Händler:innen dabei, ihre Produkte auf verschiedenen Online-Marktplätzen anzubieten. Ein solcher Händler hatte nun mit einem Problem seitens der Software zu kämpfen und beauftragte einen IT-Spezialisten. Dieser fand die Sicherheitslücke. Wie der Spiegel weiter berichtet, lag das auch an der Funktion der Software von Modern Solutions.

Denn in dieser Software waren Zugangsdaten zu dem Server des Schnittstellendienstleisters hinterlegt, die auslesbar gewesen seien. Dadurch war es möglich, auf eine große Menge an auf den Servern gespeicherten Kundendaten zuzugreifen. „Man muss sich vorstellen, da ist ein Programm, das alle Daten aller Händler und von deren Marktplätzen aggregiert. Und dann hatten die für ihre Datenbanken das Passwort im Klartext und ohne Verschlüsselung hinterlegt, Kundendaten obendrein auf dem Server seit Jahren nicht gelöscht“, betonte der Experte gegenüber dem Spiegel. Unklar ist, ob dieses offenbar seit Jahren bestehende Datenleck bereits von Dritten ausgenutzt wurde.

Programmierer meldet Datenleck, dann steht die Polizei in seiner Firma

Der Programmierer habe dann eine Email an das Unternehmen gesendet und ihm das Problem auch telefonisch geschildert. „Im Telefongespräch negierte das Unternehmen die Sicherheitslücke jedoch“, sagte der IT-Spezialist gegenüber dem Portal Golem.de. Außerdem hatte er sich an den Betreiber einer Webseite gewandt und ihm den Fall geschildert. Auf der auf den Onlinehandel spezialisierten Webseite von Mark Steier erschien Ende Juni 2021 anschließen der erste Artikel zum Thema. Doch damit ist der Fall nicht erledigt, er entwickelt sich zu einem regelrechten Krimi. Denn wie der Onlinemarkt Otto gegenüber dem Spiegel angab, war das System von Modern Solutions auch weiterhin unsicher, auch nachdem erklärt worden war, die Sicherheitslücke sei behoben.

Inzwischen sind einige Monate vergangen, doch die Situation scheint sich keineswegs beruhigt zu haben. Wie unter anderem Golem.de berichtet, wurde der IT-Spezialist am 15. September plötzlich von einer Hausdurchsuchung überrascht. Dem Portal liegt das Protokoll der Durchsuchung vor, darin ist als Grund unter anderem „Ausspähen von Daten“ aufgeführt. Statt eines Dankes für das Auffinden der Schwachstelle sei der Programmierer angezeigt worden. Auch der Webseitenbetreiber Mark Steier wurde angezeigt, nachdem er über den Fall berichtet hatte. Auf Anfrage von Golem.de wollte sich Modern Solutions nicht weiter äußern, man berief sich auf laufende Ermittlungen.

Bei der Hausdurchsuchung in der Firma des IT-Experten seien mehrere Notebooks und Festplatten sowie zwei USB-Sticks und sein Handy beschlagnahmt worden. Um finanzielle Hilfe für die nahende juristische Auseinandersetzung bekommen zu können, wandte er sich daraufhin an eine Fundraising Webseite. Mit dem Geld hofft er, sich gegen die Anschuldigungen zur Wehr setzen zu können.

Hunderttausende von Datenleak betroffen: Lilith Wirrmann mit klarer Forderung

Lilith Wittmann hatte sich auf Twitter zu dem Vorfall geäußert. Ihr Fall weist gewisse Parallelen auf. Sie hatte Sicherheitslücken in der Wahlkampf-App der CDU nachgewiesen. Daraufhin wurde Strafanzeige gegen sie gestellt, nach zunehmendem öffentlichen Druck seitens der CDU jedoch wieder zurückgezogen. Sie forderte in einem Tweet: „Ok langsam brauchen wir anscheinend echt eine Liste für Unternehmen/Organisationen, die sich dauerhaft für Responsible Disclosures disqualifiziert haben.“ (Sophia Lother)

Das könnte Sie auch interessieren

Kommentare