Mit der folgenden E-Mail (Auszug) informierte ImmobilienScout24 gestern seine Kunden über einen aktuellen Datendiebstahl:
»Information: „Datensicherheit: Unbefugter Zugriff auf Datensysteme“
Sehr geehrte Damen und Herren,
die Sicherheit der Objekt- und Kundendaten ist für uns von größter Wichtigkeit und liegt uns sehr am Herzen. […]
Dennoch ist es zu einem unbefugten Zugriff auf unser Datensystem gekommen. Dabei wurden nach jetzigem Kenntnisstand Informationen wie (Firmen)Namen, Kontaktdaten sowie Immobilien Scout-interne Registrierungsnummern von Anbietern durch Dritte kopiert. Es handelt sich damit um Daten, die großteils in den Exposés auf unserer Website veröffentlicht sind.
Sensible Daten wie Passwörter, Bank- und Zahlungsdaten sind nicht betroffen. Der unbefugte Zugriff wurde unterbunden und die Sicherheit der angegriffenen Server wiederhergestellt.
Dennoch bitten wir Sie, Ihr Passwort […]
Mit freundlichen Grüßen
Ihre ImmobilienScout GmbH«
Aus Sicht eines Betroffenen ist es zunächst einmal als überaus positiv zu bewerten, daß die ImmobilienScout GmbH seine Kunden unverzüglich über den Vorfall informiert hat. Dieses Verhalten ist, gemessen am Beispiel anderer Fälle, die in der jüngeren Vergangenheit für weltweites Aufsehen gesorgt haben, längst nicht selbstverständlich. Fällt der Blick noch weiter zurück, gewinnt man zweifelsfrei die Erkenntnis, daß Internet-Portale oder allgemein Web-Präsenzen, übrigens auch die der öffentlichen Verwaltung, keine Hochsicherheitsbereiche sind.
So unangenehm diese Vorfälle für die geschädigten Firmen im Einzelfall auch sein mögen, so wichtig ist es gerade durch Öffentlichkeit für Transparenz zu sorgen um so den Lerneffekt für die Marktteilnehmer zu verstärken. Nicht Bankleitzahl und Kontonummer sind geheim, die zuweilen sogar fester Bestandteil der täglichen Korrespondenz sind, sondern die Pin der EC-Karte. Nicht die Pan der Kreditkarte, die ohnehin in zahllosen Hotels, Restaurants, Tankstellen und Einzelhandelsgeschäften herumfliegt ist schützenswert, sondern die durch die Nutzung entstehenden Daten. Die E-Mail bleibt trotz Verschlüsselung eine offene Postkarte und beim Begriff Telefongespräch sollte die Betonung auf Gespräch liegen. Die Telefonnummer als solche ist nicht interessant. Aber für ihre Nutzungsdaten interessieren sich hierzulande gleich mehrere Gruppen, wie die anhaltende politische Diskussion zeigt.
Unberechtigte Datenzugriffe, wie im vorliegenden Fall, wird es wohl immer geben. Gerade deshalb müssen die Marktteilnehmer befähigt werden zu beurteilen, ob im Ereignisfall ihr aktives Eingreifen notwendig wird, um selbst keinen Folgeschaden zu erleiden. In Zeiten von Facebook, Twitter und Co., so scheint es allerdings, fehlt vielen Menschen das Wissen oder der natürliche Instinkt welche Informationen in die Kategorien privat/schützenswert oder öffentlich/unbedenklich fallen.
Es wird in Zukunft sicher spannend zu beobachten sein, wie sich Unternehmen vor unberechtigten Datenzugriffen schützen werden, und wie sich die Kunden verhalten werden, wenn es zu Vorfällen und Datenmißbrauch kommt. Wahrscheinlich werden die Unternehmen technisch immer weiter aufrüsten und die anderen Marktteilnehmer werden sich ein Stück weit an die regelmäßigen Datenlecks gewöhnen, solange sie selbst keine spürbaren Nachteile dadurch erfahren.
rh2011-12-001