Komplette Anschriften, Kontodaten, Bestellungen und zum Teil sogar Bankverbindungen waren recht offen im Netz zugänglich – schuld an der Datenpanne hat ein Dienstleister.

Update: Inzwischen hat uns ein offizielles Statement von Check24 zu den Vorfällen erreicht, dieses lautet wie folgt:

"CHECK24 hat für seine Kunden höchste Sicherheitsstandards implementiert. Aus diesem Grund arbeitet CHECK24 zum Schutz seiner Kunden mit sogenannten Alias E-Mails (zu keinem Zeitpunkt wird die tatsächliche E-Mail-Adresse des Kunden an den Händler weitergegeben) und verwendet gegenüber den Händlern auch immer nur seine eigenen Telefonnummern (einzige Ausnahme: bei Speditionslieferungen müssen für Rückfragen die Telefonnummern von Kunden weitergegeben werden).

Da wir im Prozess an den Händler niemals Bankdaten oder E-Mail-Adressen der Kunden weitergeben, sind lediglich die Angaben zu der Bestellung des Kunden betroffen. Auch wenn CHECK24 in diesem Fall gar nicht direkt betroffen ist, haben wir uns den Vorfall nach Kenntniserhalt umgehend mit Verantwortlichen aus dem Datenschutz, der IT angesehen. Um weitere Sicherheitslücken auszuschließen, haben wir die betroffenen Händler vorübergehend deaktiviert. Betroffene Shops, Händler unterstützen wir mit unserem Knowhow."

Ursprüngliche Meldung: Eine Sicherheitslücke eines Dienstleisters hat die Kundendaten von rund 700.000 Kunden offengelegt - das berichtet der Spiegel. Die Informationen dazu stammen dabei von der News-Plattform Wortfilter.de, die sich mit Themen rund um E-Commerce und Marktplätzen beschäftigt.

Betroffen sind dabei Kunden, die bei kleineren Händlern auf großen Online-Marktplätze wie etwa Kaufland, Otto , Check24 oder Idealo einkaufen. In den Daten ließen sich Transaktionen seit Sommer 2018 einsehen. Hierzu zählt wer, zu welchem Zeitpunkt und was gekauft wurde – samt Anschrift und in vielen Fällen sogar mit der dazugehörigen Bankverbindung.

Betroffene Händler sind über die Nachricht besorgt. Ein Sprecher von Otto gab gegenüber Spiegel an, dass der Vorfall "zum Anlass genommen werde, den gesamten Prozess infrage zu stellen" und gegebenenfalls zu überarbeiten. Die Zugänge der Händler seien vorerst vollständig gesperrt worden. Auch weiter Unternehmen wollen die Sache prüfen und im Anschluss handeln.

Die Datenpanne ist jedoch nicht den Händlern selbst zuzuschreiben: Das Leck entstand bei einem Dienstleister, bei dem Einzelhändler sich über Schnittstellen an Marktplätze im Web anbinden lassen – gewissermaßen fungiert dieser als Mittler zwischen Händler und Online-Handelsplattformen. Eine direkte Vertragsbeziehung haben nur die Händler mit den Firmen, die Marktplätze selbst allerdings nicht. Solche "Schnittstellen" gibt es jedoch einige.

Bei Bestellungen sind die Händler für den Schutz der Kundendaten verantwortlich, diese müssen natürlich geschützt werden. Der Otto-Sprecher gab dazu an: "Ein solcher Vorfall, hervorgerufen durch einen Dritten, zu dem wir keine Vertragsbeziehung unterhalten, ist dann sehr schädlich."

Das Datenleck wurde von einem IT-Spezialisten entdeckt, der im Auftrag eines Einzelhändlers ein technisches Problem zwischen dem Schnittstellen-Dienstleister "Modern Solution" und dem Händler beseitigen sollte. Der Experte stieß daraufhin auf die riesige Sicherheitslücke. Der Vorfall zeigt, wie sorglos hier mit den Kundendaten umgegangen wird.

Die aus Gelsenkirchen stammende Firma hatte in der eigenen Software, die Händler bei sich installieren müssen, einfach auslesbare Zugangsdaten zu diesem Server hinterlegt – diese galten zudem auch für alle Kunden. Als Folge konnte man als Kunde von Modern Solution auf dem Dienstleister-Server die Kunden-Datenbanken samt Transaktions-Informationen einsehen.

"Man muss sich vorstellen, da ist ein Programm, das alle Daten aller Händler und von deren Marktplätzen aggregiert. Und dann hatten die für ihre Datenbanken das Passwort im Klartext und ohne Verschlüsselung hinterlegt, Kundendaten obendrein auf dem Server seit Jahren nicht gelöscht", sagt der IT-Experte zu dem Vorfall. Die Händler-Zugangsdaten hätte man theoretisch sogar über eine Google-Suche finden können.

Modern Solution wurde zwischenzeitlich über die Datenpanne informiert, erste Reparaturversuche waren allerdings offenbar untauglich, dies bestätigten auch Aussagen von Otto : "Als Modern Solution vorgab, die Sicherheitslücke gefixt zu haben, stellten wir fest, dass das System weiterhin unsicher war." Kurzerhand habe man dann die Zugänge komplett gesperrt. Eine Anbindung an den Shop für Händler ging nur noch über direktem Weg. Darüber seien auch die Händler informiert worden.

Die Website von Modern Solution ist seit einigen Tagen durch einen Liveticker ersetzt, der Umbaumaßnahmen der Firma dokumentiert. Auf Spiegel-Anfragen habe Modern Solution bisher nicht reagiert.