Kommentar zur Sicherheit von Kundendaten Schützt endlich unsere Daten!

Von Peter Schmitz

Unternehmen betonen gern, dass ihnen die Sicherheit der Kundendaten besonders am Herzen liegt, trotzdem ist von den meisten nur ein „Ups Entschuldigung!“ zu hören, wenn sie bekanntgeben müssen, dass ihnen Hacker Tausende oder Millionen von Kundendaten gestohlen haben. Security-Insider-Chefredakteur Peter Schmitz wirft einen Blick auf die Datendiebstähle des Jahres 2011 und auf die Reaktion der betroffenen Firmen.

Firma zum Thema

Security-Insider-Chefredakteur Peter Schmitz betrachtet die Datendiebstähle des Jahres 2011 und zeigt was die Folgen für die Opfer sind.
Security-Insider-Chefredakteur Peter Schmitz betrachtet die Datendiebstähle des Jahres 2011 und zeigt was die Folgen für die Opfer sind.
(Bild: Vogel IT-Medien)

Man kann das Jahr 2011 getrost als das Jahr der großen Hacks und Datendiebstähle bezeichnen. Millionen Kundendaten wurden von Hackern beim Einbruch ins Sony Playstation Network gestohlen, mehrere Hunderttausend Kundendaten wurden bei einem Citigroup-Hack entwendet, Zehntausende Namen, Adressen und vor allem Passwörter fielen Hackern bei einem Angriff auf eine Tauschplattform der Rewe-Handelsgruppe in die Hände.

Diese Liste könnte man ohne Probleme noch mehrere Seiten weiter führen, denn es vergeht derzeit fast kein Monat, ohne spektakulären Einbruch. Das Resultat ist aber immer das Selbe: Große Mengen an sensiblen Kundendaten, angefangen von Namen, Adressen, Passwörtern bis hin zu Kreditkartendaten sind aufgrund mangelhafter Netzwerk- und Datensicherheit bei den Unternehmen in die Hände von Kriminellen gefallen und in vielen Fällen bereits missbraucht worden.

Ungeschützte Kundendaten sind grob fahrlässig!

Um es einmal ganz deutlich zu sagen: Es ist meiner Meinung nach grob fahrlässig, wenn Kundendaten in einem Unternehmen so wenig gesichert sind, dass simple Angriffe auf eine Webschnittstelle unkontrollierten Zugang zu Tausenden oder Millionen Kundendatensätzen ermöglichen. Es ist aber absolut unverzeihlich, wenn dann auch noch Passwörter und sogar Kreditkartendaten unverschlüsselt abgelegt sind und somit der Folgeschaden beim Kunden unkalkulierbar wird.

Es ist ja für den Kunden nicht damit getan, dass er mal eben sein Passwort ändert und eine Woche die Kreditkartenabrechnung genauer im Auge behält. Er kann sich ab dem Moment des Diebstahls seiner Daten quasi nie mehr sicher sein, dass alles mit rechten Dingen zugeht. Gestohlene E-Mail-Adressen sorgen beim Opfer mit größter Wahrscheinlichkeit für mehr Spam und gestohlene Personendaten wie Adresse oder Geburtsdatum erhöhen unkalkulierbar das Risiko, Ziel eines Phishing-Angriffs oder eines Identitätsdiebstahls zu werden.

Wird auch noch das unverschlüsselte Passwort gestohlen kann sich das Risiko massiv auf andere Webservices ausweiten, denn natürlich wissen wir alle, dass wir nicht das gleiche Passwort mehrfach verwenden sollen und genauso wissen wir alle, dass der Durchschnittsbürger sich nicht für jeden Webdienst ein eigenes Passwort merkt.

Bei den geklauten Bank- oder Kreditkartendaten gipfelt schließlich die Gefahr im ständigen, persönlichen finanziellen Risiko, Opfer eins Missbrauchs zu werden. Natürlich erstatten Banken und Kreditkartengesellschaften missbräuchlich abgebuchte Beträge, aber eben nur, wenn man es bemerkt. Die Folge ist also, dass der Kunde jede einzelne Zahlung, jede einzelne Abbuchung, jede Bewegung auf seinem Konto dauerhaft und zeitnah kontrollieren muss.

Folgeschäden für Kunden sind unkalkulierbar

Der Folgeschaden für den angeblich vom Unternehmen so hochgeschätzten Kunden ist also ein weitreichender Kontrollverlust über seine eigenen Daten, über seine Online-Identität und im schlimmsten Fall sogar über seine Finanzen. Alles nur, weil ein Unternehmen die grundlegenden Sicherheitsmechanismen nicht beachtet hat. Während für die gehackten Unternehmen gerne die Kosten eines solchen Diebstahls berechnet werden, hat sich noch keiner Gedanken darum gemacht, was die Kosten und Folgen für die betroffenen Kunden eigentlich sind.

Wenn Sie als Unternehmen wollen, dass Kunden Ihrem Unternehmen und Ihren Angeboten vertrauen, dann sollten Sie auch beweisen, dass Sie das Vertrauen verdienen, indem Sie die Daten Ihrer Kunden nach aktuellem Sicherheitsstandard sichern. Das heißt, dass alles verschlüsselt wird was für einen Angreifer von Wert sein könnte. Das heißt auch, dass auf öffentlich zugänglichen Systemen nur der minimal notwendige Teil an Kundendaten lagern darf und der Rest der Systeme durch intelligente Kontrollmethoden geschützt sein muss.

Bitte werden Sie sich Ihrer Verantwortung gegenüber den Daten Ihrer Kunden bewusst und handeln Sie entsprechend, damit die nächste Schlagzeile nicht Ihrem Unternehmen gilt. Bitte schützen Sie also endlich unsere Daten!

(ID:30329220)