Unverschlüsselte Passwörter Massives Datenleck alarmiert Web-Firma Hetzner

Bei der Hetzner Online AG, Spezialist für Web-Hosting, gab es über Monate ein massives Sicherheitsproblem. Nach Informationen des SPIEGEL waren hochsensible Daten des Unternehmens und von dessen Kunden leicht zugänglich. Listen mit Passwörtern blieben sogar unverschlüsselt.


Hamburg - Einer der größten deutschen Webhoster und Betreiber von Rechenzentren, das bayerische Unternehmen Hetzner Online AG, hatte über Wochen und Monate hinweg offenbar ein massives Sicherheitsproblem auf seinen Rechnern. Computerspezialisten konnten mit relativ einfachen Mitteln auf die Daten von Hetzner und Tausenden Kunden zugreifen.

Dem SPIEGEL liegen Datenproben vor, die belegen, dass Kundendaten, E-Mail-Korrespondenz und Bankverbindungen zugänglich waren. Selbst hochsensibler Schriftverkehr mit Polizeibehörden und Listen mit Passwörtern für diverse weitere Server des Unternehmens lagen teilweise unverschlüsselt auf den zugänglichen Rechnern.

Nachdem der SPIEGEL das Unternehmen am Mittwoch auf die Datenlücke aufmerksam gemacht hatte, forderte Hetzner Tausende Kunden per Brandbrief auf, ihr Passwort zu ändern. Geschäftsführer Martin Hetzner versicherte, dass eine bekannte Lücke inzwischen geschlossen sei und man daran arbeite, mögliche weitere Schwachstellen zu eliminieren.

Entdeckt wurde das Sicherheitsproblem von dem Mainzer Medienunternehmer Tobias Huch, der bereits vor drei Jahren in einer anderen Datenaffäre eine maßgebliche Rolle gespielt hatte. Huch hatte zuvor rund 17 Millionen Kundendaten der Telekom im Internet aufgespürt.

Den Fall Hetzner schätzt Huch sogar noch größer ein, weil neben den direkten Hetzner-Kunden, zu denen laut Referenzliste Unternehmen wie Sony, Buch.de oder der Internetreiseveranstalter Opodo gehören, auch deren Kunden betroffen sein könnten.

Die Hetzner Online AG gehört zu den größten Webhostern in Deutschland. Sie stellt Großkunden und Privatleuten Internetpräsenzen, Rechner und spezielle Programme zur Verfügung, mit denen sie dann auf relativ einfache Weise Internetgeschäfte abwickeln oder Inhalte präsentieren können.

Mehr zum Thema


Forum - Diskutieren Sie über diesen Artikel
insgesamt 30 Beiträge
Alle Kommentare öffnen
Seite 1
Marginalius 08.10.2011
1. grehrst
Ist mir immer wieder absolut unverständlich, wie ein eigentlich so erfahrenes Unternehmen, das ganze Rechenzentren und große Web-Präsenzen betreibt und sich eigentlich mit Sicherheitsfragen im Internet hervorragend auskennen müsste, auf die Idee kommt, Passwörter unverschlüsselt irgendwo abzuspeicern bzw. die Passwörter überhaupt abzuspeichern. Da kann man nur noch mit dem Kopf schütteln. Im Augenblick frage ich mich gerade, wie SpOn das mit der Passwortsicherheit eigentlich hält. Viele Grüße
maros 08.10.2011
2. Paranoia
Es soll nicht schadenfroh daherkommen, aber wenn man permanent auf Mindeststandards hinweist und regelmäßig mit "ach, schon wieder Paranoiatag?" abgeschmiert wird, kann man nurnoch mit dem Kopf schütteln. Bevor ein falscher Eindruck entsteht, ich gehöre nicht zu Hetzner sondern ich kenne das Problem einfach nur zu genau. Der wievielte - bekanntgewordene - Datenklau war das jetzt dieses Jahr schon?
sikasuu 08.10.2011
3. Straftatbestand fahrlässige Datenspeicherung!
Langsam wird es wirklich Zeit über einen Straftatbestand "Fahrlässige Datenspeicherung" incl. Berufsverbot über x-Jahre und einen im BGB "Verpflichtung zur Kostenübernahme bei Neuerstellung kompromitierter Daten" nachzudenken. . Erst wenn es richtig teuer wird,bekommt man die BWL'er dazu Geld für Sicherheit zur Verfügung zu stellen. . Ich geh davon aus, das in diesem Fall die IT wohl wusste was da im Argen lag, aber immer wieder mit dem Kostenküppel an die Wand gefahren wurde. . Brummende Gruesse Sikasuu . Ps. Soch ein Straftatbestand MUSS auch für Behörden o.ä. gelten. Wer Daten erhebt oder erheben will muss die auch sicher speichern können. Sonnst ab in den Knast :-) . Das würde die Datenschutzproblematik massiv vereinfachen :-))
mtw-office.de 08.10.2011
4. Hier werden Äpfel und Birnen verglichen
ok, dass Daten nach außen gelangen ist schon nicht ok. Aber bei den Daten handelte es sich "nur" um die Kundendaten. Die Passwörter der Kunden-Server waren oder sind davon nicht betroffen, da diese ja nur und ausschließlich auf den eigenen Kunden-Servern liegen und nicht in der Kundenadministration von Hetzner. Ergo konnte der liebe Tobias also nur auf die persönlichen Daten, wie Name, Wohnort, Tele und Bankverbindung zugreifen, aber die kennt doch sowieso jeder von mir, der schon einmal eine Rechnung von mir bekommen hat :)
Urlaub 08.10.2011
5. Katastrophe
Ich bin langjähriger Kunde bei Hetzner und überlege, ob es damit nun ein Ende haben sollte. Im Grunde war mir schon lange bewusst, dass die Passwörter möglicherweise im Klartext gespeichert werden - im Adminbereich kann man sie sich nämlich anschauen. Ich bin allerdings treudoof davon ausgegangen, dass die Daten wenigstens verschlüsselt gespeichert werden. Irgendwo steckt die Ursache natürlich auch in den Kosten. Denn wenn es immer billig sein soll, wird am Kundenservice gespart und alles wird so weit automatisiert wie möglich. Daher auch Passwörter im Klartext. Die Admins der Rechenzentren speichern sicherheitshalber alles nochmal zu Hause und wer-weiß-wo-sonst-noch und irgendwann gehts schief. Den Nerds kann man letztendlich sowieso nicht trauen, für die ist der Computer nämlich ein Spielzeug. Wenn ich mir vorstelle, dass die Daten meiner Kunden nun irgendwo herumschwirren, wird mir ganz anders. Neulich bekam mein Sohn seine Steuernummer zugesandt. Dass die Daten, die mit dieser Nummer verknüpft werden, sicher sind und das auch bleiben, ist wohl eher nicht anzunehmen. Wie geht das weiter, was kann ich nächstes Jahr lesen? Nuklerwaffen-Abschusscodes gemopst, Wikipedia gelöscht, alle Erdbewohner gehackt? Echt zum schießen.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.