Versicherung speicherte Kundeninformationen ungeschützt im Internet

"Für die Änderung brauchen wir einige persönliche Daten. Wir versichern Ihnen, daß wir sie sorgfältig behandeln und die Vorschriften des Datenschutzes beachten." Das verspricht die Deutsche Allgemeine Versicherung (DAV) den Kunden, die über die Webseite des Unternehmens Schadensmeldungen oder KFZ-Ummeldungen mitteilen wollen. "Damit auch im Internet nichts geschieht, betreten Sie jetzt einen geschützten Bereich. Hier nutzen wir die erprobte und weltweit eingesetzte Schutzsoftware SSL (Secure Sockets Layer). Das ist eine Spezialsoftware, die dafür sorgt, dass alle Ihre Daten bei uns und nur bei uns ankommen. Das heißt, niemand kann sie auf dem Weg zu uns oder zurück zu Ihnen lesen", versichert die DAV.

Soweit klappt das auch ganz gut. Eine Kleinigkeit hat die Versicherung, die zur Zürich Aggripina Gruppe gehört, dabei aber übersehen: Die Daten wurden zwar sicher übermittelt, aber unsicher gespeichert. In einer stümperhaften Lotus Domino-Anwendung ließ das Unternehmen monatelang die über das Web eingegeben Daten ungeschützt herumliegen. Problemlos konnte man über das Internet die schön übersichtlich nach Geschäftsfällen und Datum organisierten Kundendaten betrachten.

Auf den Hinweis von c't hin hat die Versicherung das Sicherheitsloch nun notdürftig gestopft. Die Formulare werden zwar weiterhin angezeigt, Kundendaten sind jedoch nicht mehr sichtbar. (Volker Weber) (chr)