Datenskandal

WISO: PwC-Daten wurden bei Online-Bezahldiensten missbraucht

Allein 13 000 GMX- und 12 000 web.de-Kunden sind betroffen
Von Marc Kessler

Die Datensätze, die aus einer Bewerberdatenbank der Unternehmensberatung PricewaterhouseCoopers (PwC) gestohlen worden sind, wurden nach Informationen des ZDF-Wirtschaftsmagazins WISO zu Angriffsversuchen bei den Zahlungsdienstleistern Moneybookers [Link entfernt] und Click&Buy missbraucht. Das ergab die Analyse des chinesischen Webservers, auf dem sich die rund 56 000 Kombinationen aus E-Mail-Adresse und Passwort befinden. Betroffen sind rund 13 000 Datensätze von Kunden des Mail-Dienstes GMX, 12 000 Adressen stammen von web.de. "Wir konnten noch nicht feststellen, wie viele Datensätze abhandengekommen sind", so PwC-Pressesprecher Oliver Heieck. "Es handelt sich aber um mehrere Zehntausend." Die Betroffenen seien inzwischen von PwC informiert worden.

Passwörter wurden im Klartext abgespeichert

Der Datendiebstahl war nur möglich, weil PwC zum einen die Bewerberdaten aus vergangenen Jahren auch bei längst abgeschlossenen Verfahren aufbewahrt hat. Das widerspricht den Datenschutzerklärungen des Unternehmens. Zum anderen waren die Passwörter in der Datenbank unverschlüsselt und im Klartext abgespeichert. Davon rät das Bundesamt für Sicherheit in der Informationstechnik (BSI) dringend ab: "Klartextinformationen sind auslesbar. Das ist nicht das, was man unter sicherer Datenhaltung und Speicherung verstehen kann", so Pressesprecher Matthias Gärtner.

Die Hacker haben, um auf die Konten der Finanzdienste zuzugreifen, E-Mail-Adressen und Passwörter durchprobiert. Ein Schutzmechanismus etwa bei Moneybookers, der einen automatisierten Angriff verhindern soll, wurde umgangen. Moneybookers räumte auf Anfrage ein, dass das Unternehmen ständig Angriffen ausgesetzt sei, eine Zunahme habe man aber nicht registriert.

Schaar fordert generelle Informationspflicht

Der Bundesbeauftragte für Datenschutz, Peter Schar, fordert, dass Unternehmen im Fall von Datendiebstahl grundsätzlich verpflichtet werden, Betroffene zu informieren: "Wir haben in der Vergangenheit immer wieder damit zu tun gehabt, dass Firmen versuchen, solche Vorfälle unter den Tisch zu kehren, um negative Publicity zu vermeiden. Die Folge ist, dass der Schaden größer wird, weil die Betroffenen nichts dagegen machen können." Beim Datenschutzgipfel am 4. September kam es zu keiner Einigung über eine gesetzliche Verankerung dieser Pflicht.

Weitere Artikel zum Thema veröffentlichte Daten im Internet