Buch.de verschickte Kreditkartendaten per E-Mail

Am vergangenen Wochenende bekamen knapp 500 Kunden des Internetstores Buch.de ihre eigenen Kreditkartendaten unverschlüsselt per E-Mail zugeschickt. Diese Daten hatten die Kunden über eine gesicherte SSL-Verbindung an Buch.de übertragen. Bei der Rückfrage im Klartext hätten Unbefugte die Daten auf dem Übertragungsweg mitlesen können.

Albert Hirsch, stellvertretender Vorstand Marketing bei Buch.de, erklärte gegenüber c't, aus dem Vorjahr seien noch 489 Kreditkartenzahlungen offen gewesen, die aus verschiedenen Gründen nicht abgewickelt werden konnten, teilweise wegen unklarer, abgelaufener oder fehlerhafter Kartendaten. "Unsere Buchhaltung wollte diese Probleme zusammen mit den Kunden klären. Durch ein nicht abgestimmtes Vorgehen geschah das nicht per Brief, sondern durch eine E-Mail. Wir haben jetzt angeordnet, dass grundsätzlich keine Kundendaten mehr per E-Mail verschickt werden dürfen – auch nicht innerhalb unseres Hauses," so Hirsch. Man wolle zudem alle betroffenen Kunden anschreiben und um Entschuldigung bitten.

Das tatsächliche Risiko, dass eine unerwartete Mail mit sensitivem Inhalt abgefangen wird, ist allerdings vergleichsweise gering. Dazu benötigt der Datenspion administrativen Zugang auf einen der Rechner auf der Übertragungsstrecke oder im LAN des Empfängers. Wer auf solchen Schnittstellen auf Verdacht alles protokolliert, dem läuft schnell die Platte über. Allerdings wären die Buch.de-Nachrichten durch den Betreff "Kreditkarte" leicht zu filtern gewesen. Missbräuchliche Transaktionen, bei denen per Telefon oder Internet ausschließlich mit den Kartendaten bestellt wurde, können Kreditkartenkunden jedoch ohne weiteres stornieren lassen. (nl)