Kreditkarten kompromittiert -- keine Warnung an Betroffene [Update]

Vor zwei Wochen berichtete heise online, dass bei der Sicherheitsfirma MyChannel eine Datei mit einer Kundenliste offen zugänglich im Web lag. Sie enthielt unter anderem Kreditkartennummern. Die URL zu der Datei wurde in diversen IRC-Foren veröffentlicht, bevor diese vom Netz genommen wurde.

Geschäftsführer Peter Huth versicherte damals, er werde die betroffenen Kunden, deren persönliche Daten kompromittiert worden waren, benachrichtigen. Nach einer Woche fragte heise online stichprobenartig bei einigen Betroffenen nach. Diese hatten jedoch nichts von dem Vorfall gehört, manche fielen aus allen Wolken. Auf die Frage, was die Verzögerung verursacht habe und wann er plane, die Betroffenen zu benachrichtigen, antwortete Huth nicht, sondern forderte unter Einschaltung eines Rechtsanwalts, die Liste zu löschen und keine Kunden mehr in dieser Sache zu kontaktieren. Diesem Wunsch kam heise online nach -- nicht ohne an die unbeantworteten Fragen zu erinnern. Eine Reaktion darauf blieb jedoch aus.

Ein MyChannel-Kunde, dessen Daten im Netz standen, hat nun mitgeteilt, dass er von MyChannel auch zwei Wochen nach dem Vorfall noch keine diesbezüglichen Informationen erhalten habe. Auch auf der Web-Seite von MyChannel ist immer noch kein Hinweis zu finden.

MyChannel-Geschäftsführer Peter Huth ist in der Öffentlichkeit durch seine Auftritte als Internet-Sicherheitsexperte in Fernsehsendungen wie Planetopia, Stern TV und Akte bekannt. Seine Firma MyChannel vertreibt Schutzsoftware wie das Antidialer-Programm Connection Watch. Hauptgesellschafter von MyChannel ist die Firma Erodata, die selbst ein "0190-Paymentsystem" mit dem Namen TELECOIN.de angeboten hat. Die Website, die auf das Produkt hinwies, ist nicht mehr am Netz, allerdings aus dem Google-Cache noch abrufbar. Zentrales Produkt von Erodata ist das Altersverifikations-System ueber18.de, das den Zugang zu potenziell jugendgefährdenden Web-Seiten reguliert.

Update:
Unterdessen hat MyChannel eine aktuelle Mitteilung veröffentlicht, wonach betroffene Kreditkartenkunden sehr wohl informiert worden seien. Die Firma erwähnt darin auch einen "kriminellen Angriff auf eine Kundendatei von My Channel aus dem Monat 10/2003", von dem heise online bisher nichts bekannt war.

Ein betroffener Kunde teilte heise online mittlerweile mit, er habe am 3. August um 18.31 Uhr -- also knapp zwei Stunden nach der Erstveröffentlichung dieser Meldung auf heise online -- von MyChannel eine Mitteilung erhalten. Es habe "massive Angriffe auf Server und Systeme" des Unternehmens gegeben, heißt es darin. Die E-Mail endet mit einer vagen Aufforderung: "Sollten Ihnen Unregelmäßigkeiten im Zusammenhang mit Ihren Daten auffallen, haben Sie Fragen oder sollten Sie ggf. merkwürdige Anfragen von Dritten erhalten, so bitten wir Sie, sich unverzüglich bei MyChannel zu melden". Eine Warnung, dass womöglich seine Kreditkartendaten in Umlauf gelangt sind und nun missbraucht werden könnten, ist nicht enthalten. (cp)