Nach Datenklau Rewe will künftig Nutzerdaten verschlüsseln

Die IT-Verantwortlichen von Rewe wollen besser aufpassen: Nachdem Unbekannte Zugriff auf etwa 45.000 E-Mailadressen und Passwörter eines Webangebots des Konzerns hatten, sollen nun Kundendaten nur noch verschlüsselt abgespeichert werden.

Sammelkarten aus dem Rewe-Angebot: Nutzerdaten konnten kopiert werden
DPA

Sammelkarten aus dem Rewe-Angebot: Nutzerdaten konnten kopiert werden


Köln - Nach dem Datenklau bei Sammelbild-Tauschbörsen von Rewe hat sich der Handelskonzern bei seine Kunden entschuldigt und bessere Sicherheitsmaßnahmen versprochen. Künftig würden sämtliche Kundendaten, die auf Servern von Dienstleistern liegen, verschlüsselt, teilte das Unternehmen am Freitag in Köln mit. "Rewe entschuldigt sich bei allen Betroffenen für die Verunsicherung und die Unannehmlichkeiten, die ihnen durch diesen Hackerangriff entstanden sind", sagte Vorstandsmitglied Lionel Souque. Unterdessen fordern Datenschützer weitere Aufklärung von dem zweitgrößten deutschen Lebensmittelhändler.

"Meine Mitarbeiter haben einen Kontrollbesuch gemacht. Dabei ist eine ganze Reihe von Fragen noch nicht zu meiner Zufriedenheit geklärt worden", sagte der NRW-Landesbeauftragte für Datenschutz, Ulrich Lepper, der "Bild"-Zeitung. Seine Sprecherin erläuterte, es sei zum Beispiel nicht ersichtlich, warum jemand, der an der Sammelbörse teilnimmt, seine Postadresse angeben solle. Auch die vertraglichen Regelungen zwischen Rewe und dem Dienstleister, der die Datenbank erstellt hat, seien der Datenschutzbehörde noch unklar. "Wir werden die Antworten auf unsere Fragen jetzt schriftlich anfordern", sagte die Sprecherin in Düsseldorf.

45.000 Nutzerdaten stehen offen im Netz

Computerhacker hatten laut Rewe bis zu 45.000 E-Mail-Adressen und Passwörter von Kunden gestohlen, die sich im Internet an Tauschbörsen für Tier- oder Fußballsammelbilder angemeldet hatten.

Zunächst wollte das Unternehmen den Zwischenfall herunterspielen - sensible Daten wie Kreditkartennummern oder Bankverbindungen seien in den gehackten Datenbanken nicht gespeichert worden, erklärte das Unternehmen anfangs. Dabei sind unverschlüsselt gespeicherte Passwörter in Verbindung mit E-Mail-Adressen oft sensibel - denn viele Internet-Nutzer nutzen dasselbe Passwort für verschiedene Dienste.

Es kam, wie es kommen musste: Unbekannte veröffentlichten die kopierten Daten im Internet. Die von Rewe geschaltete Hotline wusste davon Stunden später noch nichts, das Unternehmen reagierte erst mit Verspätung.

Nun bemühen sich die Verantwortlichen um ein gutes Bild: "Wir analysieren derzeit das Netzwerk und die Server jedes Dienstleisters, um so schnell als technisch möglich auch jede einzelne Datei mit Kundenbezug zu verschlüsseln, sofern dies nicht bereits geschehen ist", sagte Rewe-IT-Vorstand Frank Wiemer. Deshalb seien die Webseiten des Unternehmens momentan nicht oder nur eingeschränkt nutzbar.

Die Seiten von Rewe, der Discounttochter Penny und der Baumarktkette Toom waren seit Mittwoch offline und auch am Freitag noch "wegen Wartungsarbeiten" nicht erreichbar.

ore/dpa



Forum - Diskutieren Sie über diesen Artikel
insgesamt 10 Beiträge
Alle Kommentare öffnen
Seite 1
ArnoNuem 22.07.2011
1. Geht noch mehr?
Ich verstehe das alles nicht. Warum gibt man einem Handelskonzern freiwillig seine Daten? Nur für ein bischen Rabatt? Unlängst wurde ich an der Kasse gefragt, ob ich die Deutscchlandkarte hätte. Einen Kabarettisten zitierend santwortete ich "Nein, ich finde den Weg auch so hierher." Ich bin beinahe schon mit meiner Kontokarte, Krankenkassenkarte, Sozialversicherungsausweis und der Monatskarte für den Nahverkehr sowie dem Ausweis überfordert. Wenn ich dann an der Supermarktkasse sehe, was andere Leute für Karten in ihrer Brieftasche haben - meine Güte, wie behalten die den Überblick? Neulich zahlte jemand einen Sixpack Bier und zwei Tüten Chips mit der Kreditkarte. Gehts noch?
fkrone 22.07.2011
2. Frechheit..!
Zitat von sysopDie IT-Verantwortlichen von Rewe*wollen besser aufpassen: Nachdem Unbekannte Zugriff auf etwa 45.000 E-Mailadressen und Passwörter eines Webangebots des*Konzerns hatten, sollen nun Kundendaten nur noch verschlüsselt abgespeichert werden. http://www.spiegel.de/netzwelt/web/0,1518,775996,00.html
Das ich nicht lache. Man hätte auch schreiben können, dass "die IT-Verantwortlichen von Rewe nun tatsächlich IT-Verantwortliche sind und endlich über grundlegende Kenntnisse verfügen Kundendaten nur noch verschlüsselt abzuspeichern". Aber was erwartet man auch? Rewe will mgl. billig an jede Menge Daten kommen und ködert - wie viele andere Läden auch - Kunden mit irgendwelchen vermeintlichen super-sonder-schnäppchen-Prämien. Wahrscheinlich merkt Rewe dann noch an dass die Daten nun "zu Ihrer Sicherheit" verschlüsselt gespeichert werden und rechtfertigt somit die 3% Erhöhung aller Preise ^^
na_ja_ 22.07.2011
3. Rewe will künftig Nutzerdaten verschlüsseln
Für mich als Systemadministrator klingt der Satz "Rewe will künftig Nutzerdaten verschlüsseln" ungefähr so wie "VW will künftig Autos mit Türschlössern ausstatten". Das ist eine so unfassbare Schlamperei, dies würde ich keinem Lehrling im ersten Lehrjahr mehr durchgehen lassen. Wie man heutzutage noch Daten unverschlüsselt im Internet lassen kann, ist nicht nachzuvollziehen, zumal es bewährte und schnell durchzuführende Methoden gibt, sie absolut unknackbar zu sichern.
Zweck-Los 22.07.2011
4. An der falschen Stelle gespart
Zitat von na_ja_Für mich als Systemadministrator klingt der Satz "Rewe will künftig Nutzerdaten verschlüsseln" ungefähr so wie "VW will künftig Autos mit Türschlössern ausstatten". Das ist eine so unfassbare Schlamperei, dies würde ich keinem Lehrling im ersten Lehrjahr mehr durchgehen lassen. Wie man heutzutage noch Daten unverschlüsselt im Internet lassen kann, ist nicht nachzuvollziehen, zumal es bewährte und schnell durchzuführende Methoden gibt, sie absolut unknackbar zu sichern.
Jaja, das Zauberwort HTTPS. Ein solches Zertifikat kostet ordentlich Geld (ca. 200€ jährlich) und Entwicklungsarbeit für die getrennten DBs (einmaliger Beitrag: geschätzte 5.000€ und höher). Getrennte DBs und ... ach was red ich, weiss doch jeder Schulbub bereits mit seinen 10 Lenzen. Gell? Rewe hat sich das Image eines Internet-Discounters verdient. Macht nicht in Flash, sondern in Sicherheit.
na_ja_ 22.07.2011
5. rewe wurde auf sicherheitslücken hingewiesen ...
... und hat's verschusselt. http://www.gulli.com/news/16602-rewede-schwere-sqli-sicherheitsluecke-bleibt-trotz-hinweis-bestehen-2011-07-14
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.