Haarsträubende Sicherheitslücken bei Quelle.de

Mit einem simplen Trick sei bis vor kurzem der Quelle-Onlineshop für Betrug anfällig gewesen, meldet die Wirtschaftswoche. Hat man bei einer Bestellung den Link "Passwort vergessen oder gerade nicht zur Hand" angeklickt, konnte man sich durch Eingabe von Name, Adresse und Geburtsdatum als einer der etwa 4000 Quelle-Shops ausgeben – die dazu nötigen Daten sind meist online verfügbar oder lassen sich durch einen fingierten Anruf ermitteln. Die Bestellung sei dem Shop in Rechnung gestellt worden, die Auslieferung erfolgt an die separat eingegebene Lieferadresse.

Quelle habe umgehend reagiert und die Lücke geschlossen, sagte Dirk Seifert, einer der Geschäftsführer des Versandhausriesen, und kündigte zugleich personelle Konsequenzen an. Allerdings hatte Quelle bereits am 7. August Strafanzeige wegen Betrügereien im Gesamtwert von etwa 20.000 Euro gestellt; die Schnittstelle zu den Quelle-Shops war dagegen noch bis vor wenigen Tagen in Betrieb.

Noch immer seien die Shop-Systeme von Quelle und Schwesterfirma Neckermann anfällig für Missbrauch, so die Wirtschaftswoche. So könne man mit wenigen persönlichen Informationen fremde Kundenkonten einsehen. Den tatsächlichen Schaden durch Betrug von Online-Shops schätzt Stefan Gehrke, Geschäftsführer beim Mcert in Berlin auf 2,5 bis 10 Millionen Euro jährlich. Genaues lasse sich nicht sagen, weil die Unternehmen aus Angst vor Image-Verlusten solche Fälle meist auf dem Kulanzweg regeln. (heb)