Datendiebstahl? Bloß keine Panik!
Ein Hacker kopiert Mindfactorys Kundendatenbank - und das Unternehmen scheint zu hoffen, dass es niemand merkt
Vertrauen ist ein wichtiges Kapital im Geschäftsleben. Selbst die beste Geschäftsidee ist nicht profitabel, wenn die potentiellen Kunden ausbleiben, weil der Anbieter im Ruf steht, seine Dienstleistung nicht im Griff zu haben oder gar unseriös zu sein. In Krisen richtig zu reagieren, gehört daher zu den Grundaufgaben einer soliden Geschäftsführung. Wie es nicht geht, demonstriert gerade der Onlinehändler Mindfactory in seinem Umgang mit einem Hackerangriff, bei dem auch eine große Anzahl an Kundendatensätzen, möglicherweise über 600.000, kopiert wurden. Doch Mindfactory gefährdet damit nicht nur seinen Ruf - sondern auch seine Kunden.
Nachdem Mindfactory in einem zum Shop gehörigen Forum von seinen Kunden darauf aufmerksam gemacht wurde, dass möglicherweise Namen und Mailadressen von Kunden einem Spam-Versender in die Hände geraten waren, sah sich das Unternehmen genötigt, im Februar diesen Jahres in einer Stellungnahme einen "möglichen Datendiebstahl" einzuräumen.
Zugleich gab Mindfactory bekannt, polizeiliche Ermittlungen veranlasst zu haben, um den Vorfall aufzuklären. Doch die Kunden wurden nicht direkt, beispielsweise durch eine Rundmail informiert. Wer nicht zufällig auf die Stellungnahme im Forum oder die Meldung auf heise online stieß, wusste nicht, dass seine Daten in fremde Hände geraten waren. Entsprechend ruhig blieb es um das Thema - die meisten Kunden dürften schlicht nichts bemerkt haben.
Erst als am 15. April bekannt wurde, dass Kundendaten von Mindfactory öffentlich im Netz kursierten, kam wieder mehr Bewegung in die Sache. Auf skymem.com tauchten immer wieder Auszüge aus der Datenbank auf. Namen, Adressen, Mailadressen und Telefonnummern zehntausender Mindfactory-Kunden waren öffentlich einsehbar, wurden aber rasch vom Seitenbetreiber wieder gelöscht.
Der Vorgang veranlasste Mindfactory zu einer zweiten Stellungnahme im hauseigenen Forum. In ihr erklärte das Unternehmen unter anderem, es stehe nun durch den Vorfall, dass lediglich ein "kleiner Anteil der Kundendaten der Mindfactory AG betroffen ist". Zudem seien "definitiv keine Passwörter, Bank- oder Kreditkartendaten von Kunden ausgespäht worden". Woher das Unternehmen diese Erkenntnisse nimmt, verrät die Stellungnahme allerdings nicht. Möglicherweise herrscht hier das Prinzip Hoffnung, und Mindfactory geht davon aus, dass auf skymem.com sämtliche kopierten Daten aufgetaucht sind.
Rein rechtlich gibt es in diesem Fall keine Informationspflicht für das Unternehmen
Auf eine schriftliche Anfrage von Telepolis zu dieser und zu weiteren Fragen möchte sich das Unternehmen nicht äußern. Selbst eine Klarstellung, welche Informationen aus dem jüngsten Artikel auf heise online aus Sicht von Mindfactory unzutreffend seien, wollte Mindfactory nicht abgeben. Dabei hatte der Händler noch in seiner letzten Stellungnahme ausdrücklich betont, dass die Meldung "fehlerhaft" sei. Mindfactory-Sprecher Daniel Canoa betonte in einem Telefonat mit Telepolis lediglich, dass keine Passwörter abhanden gekommen seien. Auf die bisher nicht erfolgte direkte Information der Kunden, beispielsweise per Mail, angesprochen, teilte Canoa lediglich mit, dass bei Mindfactory über eine derartige Maßnahme nachgedacht werde.
Rein rechtlich ist Mindfactory dazu nach derzeitigem Wissensstand auch nicht verpflichtet, wie Herr Karkosch erklärt, der sich beim niedersächsischen Landesbeauftragten für Datenschutz mit dem Fall befasst. Die Daten, von denen bisher bekannt ist, dass sie kopiert wurden, fallen nicht unter den für die Informationspflicht wichtigen Paragraphen 42a des Bundesdatenschutzgesetzes. So wurden keine "besonderen Arten personenbezogener Daten" kopiert - darunter würde beispielsweise die sexuelle Orientierung fallen.
Lediglich in dem Fall, dass Kontodaten betroffen sind, ist Mindfactory zur Information der betroffenen Kunden verpflichtet. Bei Privatkunden ist dies jedoch regelmäßig nicht der Fall - Kontodaten können diese gar nicht angeben, weil der Händler kein Lastschriftverfahren anbietet. Insofern klingt Mindfactorys Erklärung, dass Kontodaten von dem Vorfall nicht betroffen seien, plausibel. Doch bei gewerblichen Kunden könnte es anders aussehen, wie ein User im Mindfactory-Forum zeigt: Für diese bietet Mindfactory sehr wohl Abbuchung per Lastschrift an. Telepolis wollte daher vom Unternehmen wissen, warum das Unternehmen annimmt, dass diese Kontodaten nicht kopiert wurden. Immerhin ist es denkbar, dass diese in einer separaten Datenbank gespeichert sind. Doch da Mindfactory auch diese Frage gegenüber Telepolis nicht beantwortet hat, herrscht hier derzeit Unklarheit.
Für Mindfactory gibt es eigentlich kein Problem
Doch auch abseits des Themas Kontodaten stehen noch Probleme im Raum. So hat ein Mindfactory-Kunde in einem Forum Hinweise darauf gefunden, dass auch die Logins sowie die zugehörigen MD5-Prüfsummen gehandelt werden. Sollten diese entschlüsselt werden, so könnte das für die Betroffenen unangenehme Folgen auch über Mindfactory hinaus haben. Immerhin verwenden viele Nutzer aus Unkenntnis oder Bequemlichkeit die gleichen Logindaten auf einer Vielzahl von Internetseiten. Sofern es sich tatsächlich um Logindaten von Mindfactory handelt, könnte der Hackerangriff auf den Händler für die Betroffenen noch an ganz anderen Stellen unangenehme Konsequenzen nach sich ziehen.
Kurz nach Bekanntwerden des möglichen Handels mit Logindaten im Kundenforum hat Mindfactory die Anforderungen an die Kundenpasswörter verschärft. Jeder, der sich nun im Shop einloggen will, wird zu einer Passwortänderung aufgefordert. Hintergrundinformationen dazu oder gar eine Email an alle Kunden hat das Unternehmen trotzdem nicht bereitgestellt - immerhin ist man nach wie vor offiziell der Ansicht, dass es hier eigentlich kein Problem gebe. Die Kunden allerdings, die anschließend den Weg ins Mindfactory-Forum finden, sind dadurch eher verunsichert. Schließlich ist auch durch diese Maßnahme all jenen nicht geholfen, die bisher aufgrund der mangelhaften Informationspolitik des Händlers nichts von den Problemen erfahren haben.
Ein Moderator im Mindfactory-Forum erklärte dazu, dass man mit dieser Informationspolitik "auf Nummer sicher gehen" wolle. "Für die Panikmache sind hier andere zuständig", so die Kritik an jene, die mehr Transparenz und eine offensive Information der Betroffenen wünschen. Ein offizielles Statement zur Informationsstrategie von Mindfactory wolle das Unternehmen nicht abgeben.
Zumal durch die Veröffentlichung von Adressen und Telefonnummern von tausenden Kunden auch Anschriften im Netz problemlos auffindbar wurden, die die Betroffenen möglicherweise bewusst geheim halten wollten - man denke nur an Opfer von Stalking oder häuslicher Gewalt. So empört sich eine Kundin im Mindfactory-Forum:
Sollte der Terror, wegen dem ich vor ein paar Jahren umziehen musste, jetzt wieder losgehen, weis ich ja wem ich zu danken habe. Eine rechtzeitige, soll heissn frühestmögliche Information, wäre zumindest hilfreich gewesen.
. Von Seiten des Unternehmens geht auf derartige Postings allerdings niemand ein - viel lieber übt man sich in Beschwichtigung und hofft, die Illusion aufrecht zu erhalten, man könne die Daten wieder restlos aus dem Netz entfernen. "Wir wollen alle Kopien löschen", gibt Canoa, der im Kundenforum als Mr. Marketing unterwegs ist, selbstbewusst zu verstehen - was im Forum freilich nur noch mehr Unverständnis auslöst. "Das Krisenmanagement ist einfach schlecht und da erwarte ich auch keine weiteren Informationen von Ihnen. Ein ahnungsloser Kunde ist ein guter Kunde - glauben Sie das machen alle mit?", so ein User.
Offenbar spekuliert das Unternehmen darauf, mit einem auf das vergleichsweise wenig besuchte Kundenforum beschränkten Informationsfluss die Masse der Kunden nicht zu erreichen und sie so bei der Stange zu halten. Kollateralschäden im Forum nimmt Mindfactory dabei sehenden Auges in Kauf - gerade ein Computerhändler im Netz muss mit einem Publikum rechnen, dass in technischen Fragen über genug Wissen verfügt, um die Informationen des Unternehmens kritisch zu bewerten und dies auch zu verbreiten. Leidtragende sind jedoch die große Masse der Gelegenheitskäufer, die möglicherweise erst dann von dem Datendiebstahl erfahren, wenn sie selbst einen Schaden davontragen. Ihnen wird die Möglichkeit genommen, nun noch rasch Sicherheitsmaßnahmen, wie die Änderung aller gleichlautenden Passwörter bei anderen Dienstleistern, zu ergreifen.
Der Vorfall zeigt jedoch auch dringenden Nachbesserungsbedarf im Bundesdatenschutzgesetz. Rein rechtlich muss Mindfactory erst dann aktiv über den Datendiebstahl informieren, wenn klar ist, dass auch Bankverbindungsdaten betroffen sind. Bis dahin hat das Unternehmen das Recht, den Skandal auszusitzen und zu hoffen, dass möglichst wenige davon erfahren. Hier bedarf es einer Informationspflicht, die betroffene Anbieter verpflichtet, über jede unbeabsichtigte Weitergabe oder Veröffentlichung von personenbezogenen Daten sofort zu informieren. Immerhin kann selbst die Anschrift einer Privatperson eine schützenswerte Information sein, deren Veröffentlichung für den Betroffenen negative Folgen haben kann.