Datenleck in Österreich: Kundendaten von Krone und Kurier frei zugänglich

Abodaten der Tageszeitungen Krone und Kurier sollen offengelegt worden sein. In einer E-Mail war ein Link mit Kundenummer hinterlegt, der Zugang zu vertraulichen Daten gewährte. Laut Verlag wurde das Datenleck aber schnell beseitigt.

In Pocket speichern vorlesen Druckansicht 18 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Robert Höwelkröger

Über ein Datenleck waren in dieser Woche die vertraulichen Daten vieler Kunden der österreichischen Tageszeitungen Kurier und Krone, die zum Mediaprint Verlag gehören, frei zugänglich. Die Krone hatte eine E-Mail verschickt, über den ein theoretischer Zugriff auf Abodaten des Blatt möglich war. Das berichtet der österreichische Standard und bezieht sich dabei auf den Programmierer Roman Ranzmaier, der das Leck aufdeckte. Alleine die Krone hat aktuell mehr als 680.000 Abonnenten.

Demnach erhielt Ranzmaier besagte E-Mail, die aber eigentlich für seinen Nachbarn bestimmt gewesen war. Das Schreiben landete irrtümlicherweise in seinem E-Mail-Postfach. Darin wurde dieser gebeten, seine Bankdaten für die Abogebühr der Zeitung zu bestätigen. In dem Schreiben hieß es, dieser Vorgang sei aufgrund der Einführung von SEPA nötig geworden. Durch das Klicken auf einen Link in der E-Mail-Nachricht, wurde automatisch ein PDF-Dokument erzeugt. Darin fand der Programmierer nach eigenen Angaben Namen, Anschrift und Bankdaten seines Nachbarn. Laut Ranzmaier war es ihm auch ohne weiteres möglich, über den Link Daten anderer Abonnenten zu öffnen, da jedem E-Mail-Empfänger eine sechsstellige Nummer zugeordnet war.

Als Ranzmaier mit Hilfe eines Programms weitere Kundennummer ausprobierte, will er auch Zugriff auf weitere Daten bekommen haben. Mediaprint hätte das Datenleck verhindern können, wenn der Link mit einer Passwortabfrage geschützt gewesen wäre, meint Ranzmaier. "Würde ich das Programm auf einem Server laufen lassen, hätte ich innerhalb eines Tages wohl alle Abodaten der 'Kronen Zeitung'. Mit diesen Daten lässt sich dann auch eine Abbuchung vom Bankkonto der Kunden durchführen", erklärte der Programmierer weiter.

Mediaprint hat nach eigener Aussage rasch reagiert und die Lücke innerhalb weniger Stunden geschlossen. Auch Abonnenten des Kuriers sollen von dem Datenleck betroffen gewesen sein. "Diese E-Mail wurde auch an unsere Kunden verschickt", zitiert der Standard den "Kurier"-Geschäftsführer Thomas Kralinger. "Wir gehen aber davon aus, dass kein Kunde Daten von anderen Kunden gesehen hat", sagt Kralinger. Laut Ranzmaier sollen die Kunden nicht über das Leck informiert worden sein.

[Update] In einem anwaltlichen Schreiben teilte uns der Mediaprint Verlag mit, dass man der Ansicht sei, es hätte im Unternehmen gar kein Datenleck gegeben. Stattdessen, so die Darstellung der Anwälte, hätte sich ein Programmierer in widerrechtlicher Weise Zugang zu den Daten anderer Kunden verschafft. Zudem hätte Mediaprint die angebliche Lücke nicht erst nach Stunden, sondern bereits nach Minuten geschlossen. Die wenigen betroffenen Kunden hätte man kontaktiert und informiert. (roh)