Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Verfehlter Datenschutz: Massive Datenpanne bei Libri entdeckt

Von

Die Rechnungen Tausender Kunden des Online-Buchhändlers Libri standen ohne weitere Sicherheitsvorkehrungen im Netz - zugänglich für jeden Internetnutzer. Erst der Hinweis eines besorgten Kunden brachte das Unternehmen auf die eklatante Sicherheitslücke.

Hamburg - Beim Online-Buchhändler libri.de hat es eine schwere Datenpanne gegeben. 563.640 Rechnungen Hunderttausender Kunden waren über einen Umweg für jeden Internetnutzer einsehbar. Das Unternehmen räumte den Fehler ein. "Wir konnten unverzüglich reagieren und die Lücke schnell schließen", teilte Libri am Donnerstag in Hamburg mit. Nach Angaben des Unternehmens sei das geschehen, bevor Schaden entstehen konnte.

Ein Kunde des Online-Buchhändlers hatte den Blog netzpolitik.org auf das Datenleck aufmerksam gemacht. Dessen Betreiber Markus Beckedahl probierte die Sicherheitslücke aus und stellte fest: Wer eine Rechnung als PDF-Dokument runtergeladen hat, bekam dafür offenbar eine fortlaufende Nummer. Gab man eine andere Nummer ein, konnte man sich auch die Rechnungen anderer Kunden ansehen - mit Namen, Anschriften, Rechnungsnummern und bestellten Artikeln.

Binnen einer halben Stunde konnten er mit Hilfe eines einfachen Computerbefehls rund 20.000 Rechnungen automatisch herunterladen, berichtet Beckedahl - ohne besondere Schutzvorkehrungen umgehen zu müssen. Die Daten wurden nach eigenen Angaben anschließend wieder gelöscht. Insgesamt soll eine halbe Million Rechnungen aus den vergangenen 16 Monaten abrufbar gewesen sein - durch einen denkbar einfachen Anfängerfehler.

"Ein hochbrisanter Fall", sagt der Hamburger Datenschutzbeauftragte, Johannes Caspar. Denn aus den Buchbestellungen ließen sich Geschmack, Hobbys und Vorlieben erkennen. Sogar Rückschlüsse auf soziale Probleme ließen sich ziehen. "Man stelle sich vor, jemand bestellt ein Buch 'Leben mit Aids' oder 'Hilfe gegen Depression'", sagt der Datenschützer. Dabei könne es sich gerade um Bücher handeln, die Kunden nicht in einem Geschäft, sondern Online kaufen, um anonym zu bleiben.

Besonders peinlich: Auf Libri prangt ein Gütesiegel des TÜV Süd für sicheres Einkaufen im Internet. "Sicherheit hat höchste Priorität beim Online-Einkauf", heißt es auf der Website des Prüfsiegels. Das Zeichen schaffe "Vertrauen zwischen Kunden und Online-Anbietern". Nun ist ausgerechnet das genaue Gegenteil eingetreten. Offenbar hat Libri nach der Prüfung die eingesetzte Software ausgetauscht und das Siegel ohne erneute Überprüfung einfach stehen lassen.

Der TÜV vergibt das Zertifikat jeweils für ein Jahr - Änderungen, die an den geprüften Systemen in der Zwischenzeit vorgenommen werden, fallen nicht darunter. "Ob das bei Libri der Fall war, überprüfen wir derzeit", sagt TÜV-Süd-Sprecher Frank Volk. "Bei der Zertifizierung eines Angebots hätte man so eine Schwachstelle eigentlich merken müssen." Bei einer erneuten Prüfung von Libri werde man sich deshalb schon genau ansehen, wie es zu der Panne kommen konnte.

"Man muss sich fragen, was derartige Zertifizierungen letztlich wert sind", sagt der Datenschutzbeauftragte Caspar. "Die Verbraucher können sich ja gar nicht anders schützen, als sich an solche Siegel zu halten." Er fordert, endlich eine gesetzlich vorgeschriebene Überprüfung der Datensicherheit einzuführen, um künftig derartige Sicherheitslücken zu verhindern.

Im vergangenen Jahr waren auf eben so einfachem Wege Zehntausende Datensätze beim Marktforschungsinsitut TNS Infratest/Emnid einseh- und sogar abänderbar. Damals hatte der Bundesdatenschutzbeauftragte Peter Schaar Unternehmen zu Transparenz bei Datenpannen aufgefordert.

Anmerkung: Libri ist auch als Dienstleister des SPIEGEL-SHOP tätig.

Mit Material von dpa

Diesen Artikel...
Forum - Datenschutz ausreichend?
insgesamt 165 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Nein...
Sgt_Pepper, 21.04.2009
Zitat von sysopLidl, Bahn und Telekom: Ein Datenskandal jagt den nächsten - und niemand fühlt sich verantwortlich? Der oberste Datenschützer Schaar hat der Politik Zögerlichkeit im Kampf gegen Datenmissbrauch vorgeworfen. Sind unsere Daten ausreichend geschützt?
...ich glaube nicht. Das Ganze ist eine zweischneidige Sache: Zum einen gehen wir teilweise selbst sehr fahrlässig mit unseren Daten um, in dem wir im Internet freiwillig Daten hinterlassen (Adressen, Alter, etc.) zum anderen ist der Staat seit einigen Jahren sehr erpicht darauf, alles mögliche über uns zu sammeln. Um es mal böse zu formulieren: Wir alle stehen unter Generalverdacht und die Regierungen träumen davon, über Datenbanken Ihre Bürger zu begreifen bzw. zu kontrollieren. Das hat schon orwell'sche Ausmaße und pathologische Züge. Nur was soll das bringen? Eine Straftat verhindert man so nicht. Aber wahrscheinlich soll schon das Potenzial erkennbar sein - ich warte nur noch auf die unfehlbare Software, die in einer Art Rasterfahndung Leute zur weiteren Befragung selektiert. Der letzte Schritt wäre dann die präventive Bestrafung, weil man ja zu xx% ein Straftäter sein könnte....
2.
Mulharste, 21.04.2009
Zitat von sysopLidl, Bahn und Telekom: Ein Datenskandal jagt den nächsten - und niemand fühlt sich verantwortlich? Der oberste Datenschützer Schaar hat der Politik Zögerlichkeit im Kampf gegen Datenmissbrauch vorgeworfen. Sind unsere Daten ausreichend geschützt?
Sind sie nicht - und wieso ist der Staat vor der Lobby eingeknickt? Der größte Schnüffler,Datensammler und Missbraucher sitz an der Regierungsbank. Das ist der eigentliche Skandal. Wenigstens die Gendaten bleiben gesperrt.
3. ein wenig OT
mc.bench, 21.04.2009
Zitat von MulharsteSind sie nicht - und wieso ist der Staat vor der Lobby eingeknickt? Der größte Schnüffler,Datensammler und Missbraucher sitz an der Regierungsbank. Das ist der eigentliche Skandal. Wenigstens die Gendaten bleiben gesperrt.
[QUOTE=Mulharste;3644044]Der größte Schnüffler,Datensammler und Missbraucher sitz an der Regierungsbank. QUOTE] Moin, in Bezug auf oben genanntes ein kleiner Hinweis zu weiteren Einschränkungen: http://www.heise.de/newsticker/Kinderporno-Sperren-Frontalangriff-auf-die-freie-Kommunikation-befuerchtet--/meldung/136485
4. Lobby und Staat
clauswclausen 21.04.2009
Zitat von MulharsteSind sie nicht - und wieso ist der Staat vor der Lobby eingeknickt? Der größte Schnüffler,Datensammler und Missbraucher sitz an der Regierungsbank. Das ist der eigentliche Skandal. Wenigstens die Gendaten bleiben gesperrt.
In jedem neuen Datenschutzbericht wird festgestellt, dass schärfere Datenschutz-Gesetze nötig seien. Und der Bürger wird trotzdem immer gläserner. Die Antwort auf die in Ihrem Beitrag gestellte Frage würde ich mit grossem Interesse hören wollen. Und im übrigen teile ich Ihre Meinung dazu, wo der grösste Schnüffler,...
5. ... pauschale Frage
huggi, 21.04.2009
Zitat von sysopLidl, Bahn und Telekom: Ein Datenskandal jagt den nächsten - und niemand fühlt sich verantwortlich? Der oberste Datenschützer Schaar hat der Politik Zögerlichkeit im Kampf gegen Datenmissbrauch vorgeworfen. Sind unsere Daten ausreichend geschützt?
... die so garnicht zu beantworten ist. Wenn Unternehmen Daten erheben und in unzulässiger Weise nutzen muss man diesen Fällen nachgehen und sie abstellen. Das grössere Problem sehe ich aber in der Form wie der Staat in die informelle Selbstbestimmung eingreift und Daten aus unterschiedlichsten Quellen nutzt. Diejenigen Politiker welche sich hier über Verstösse bei Unternehmen mockieren sollten sich besser einmal die eigene Datensammelwut anschauen. Ohne dass es der einzelne Bürger merkt, können interessierte Stellen (Verfassungsschutz, MAD und Finanzbehörden) heute schon genaue Bewegungs-, Kommunikations-, und Finanzprofile einzelner Bürger erstellen und auswerten. Und hierbei geht es durchaus nicht nur um vergleichsweise harmlose Basisdaten!
Alle Kommentare öffnen
    Seite 1    
Diskussion geschlossen - lesen Sie die Beiträge! zum Forum...

© SPIEGEL ONLINE 2009
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH




Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: