Daten-Lecks: Wer erwischt wird, lernt (vielleicht) dazu
Erneut lagen hunderttausende Datensätze ungeschützt auf einer Website. Unternehmen sammeln heutzutage bedenkenlos riesige Mengen Kundendaten - und gehen fahrlässig damit um. Doch vielleicht ist der Schaden heilsam, findet iX-Autor Thorsten Kraft.
- Thorsten Kraft
Und schon wieder lagen einige hundert Gigabyte sensibler Daten im Netz: Echtdaten von etwa 600.000 Bestandskunden der Fitness-App iFit, die auf einem unzureichend abgesicherten Testsystem abgegriffen werden konnten und Auskünfte über den Gesundheitszustand ihrer Nutzer geben. Inwieweit der Anbieter der Software überhaupt erwägt, seine Kunden über den sorglosen Umgang mit deren Daten zu informieren, ist bisher ungeklärt.
"Nicht meldepflichtig", aber nicht harmlos
Denkbar, dass er das Benachrichtigen der Kunden für ähnlich "sinnlos" hält wie der ADAC. Ein Teil von dessen Mitgliederdaten war über Wochen im Internet offen einsehbar. Nach Bekanntwerden verzichtete der ADAC jedoch darauf, die betroffenen Mitglieder persönlich zu informieren. Auf Facebook darauf angesprochen, antwortete der ADAC, der Vorfall sei schließlich nach § 42a des Bundesdatenschutzgesetzes (BDSG) nicht meldepflichtig gewesen.
Doch damit nicht genug: Der Betreiber der mit Tinder vergleichbaren Dating-Platform HZoneApp gab vor einigen Tagen bekannt, dass auch bei ihm Datensätze von Nutzern in fremde Hände gerieten. Hier ist der Datenabgriff erst recht besorgniserregend, denn die Nutzer der Dating-App teilen alle dasselbe Schicksal: Sie sind HIV-positiv. Wer nun versucht, das Unternehmen dahinter ausfindig zu machen, findet keinerlei Anbieterinformationen, weder auf den Webseiten selbst noch in den WHOIS-Einträgen der Domain.
Daten eifrig sammeln, aber fahrlässig schützen
Fälle wie die von iFit und HZone verdeutlichen, wie leicht es ist, riesige Datenmengen zu sammeln. Doch anscheinend treten Unternehmen das in sie gesetzte Vertrauen mit Füßen: Sie betreiben ungeschützte Datenbanken, verwaiste Testsysteme oder ungepatchte Server- und Softwareversionen. Selbst XSS- oder SQL-Injection-Lücken finden sich zuhauf – und das in einer Zeit, in der solche Schwachstellen eigentlich Geschichte sein sollten. Der fahrlässige Umgang mit Anwenderdaten kennt anscheinend keine Grenzen.
Gestiegenes Vertrauen nach dem Datenverlust
Daher ist es auch nicht erstaunlich, dass einer Umfrage zufolge bereits jeder fünfte Anwender bereit ist, einem Unternehmen mehr zu vertrauen, wenn es bereits einen Datenverlust hinter sich hat, da er dann eher annehmen kann, dass es sensibilisiert ist. Mit dieser Einschätzung liegt der Anwender aus meiner Sicht leider richtig. Denn es gibt nur zwei Arten von Firmen: Die, die gehackt worden sind – und die, die es noch nicht gemerkt haben, da sie die Daten, ihre eigenen Kunden oder gar sich selbst nicht ernst genug nehmen. Letzteres mag vielleicht berechtigt sein – dennoch möchte ich, dass meine Daten sicher aufbewahrt werden. (tiw)