Deine persönlichen Daten sind bei uns sicher (Missbrauch aufgedeckt von WISO)

Gestern abend kam bei mir die folgende Mail in mein Postfach:

—– Original Message —–
From: „Zweites Deutsches Fernsehen / Redaktion WISO“
To:
Sent: Wednesday, September 03, 2008 5:27 PM
Subject: Hinweis auf Datenmissbrauch

Hallo, Eigentümer der E-Mailadresse xxxxx@gmx.de,

Sie erhalten diese Mail von uns, weil wir auf einen datenschutzrechtlich problematischen Sachverhalt aufmerksam gemacht wurden, der Ihre E-Mail-Adresse betrifft.

Ihre E-Mail-Adresse und das Passwort *xxxxxx** (Zu Ihrer Sicherheit wurde das Passwort gekürzt)befinden sich nach unseren Recherchen auf einem im Internet frei zugänglichen, in China beheimateten Server.

Die Daten scheinen aus einem Datendiebstahl zu stammen, die Datendiebe haben versucht, sich mit Hilfe dieser Kombination aus Mail-Adresse und Passwort Zugang zu Online-Bezahldiensten zu verschaffen.

Die Daten selbst stammen nach ersten Erkenntnissen aus einer Datenbank, die nichts mit Finanzdienstleistungen zu tun hat und bei der Sie sich in der Vergangenheit einmal angemeldet haben.

Möglicherweise nutzen Sie diese Kombination aus E-Mail-Adresse und Passwort für weitere Internet-Dienste, etwa für Ihren Mail-Account, zum Anmelden bei Online-Shops oder auf anderen Webseiten.

In diesem Fall raten wir Ihnen dringend, auf jeder einzelnen dieser Seiten Ihr Passwort unverzüglich zu ändern, bevor irgendjemand aus dem Vorhandensein dieser Daten im Internet einen Vorteil ziehen kann.

Hinweise zur Verwendung von Passwörtern und für die sichere Passworterstellung erhalten Sie untenstehend.

Diese Mail geht zurück auf Recherchen der ZDF-Sendung WISO, die am Montag den 8. September ausführlich über diesen Datendiebstahl berichten wird. Informationen erhalten Sie spätestens dann auch unter http://www.wiso.de/ Bitte beachten Sie, dass wir keine Einzelfallberatung durchführen können – E-Mails an diese Versandadresse werden nicht beantwortet.

Wir werden die uns vorliegenden Daten nach Ausstrahlung des Beitrags löschen, Sie erhalten keine weitere Mail von uns an diese Adresse (es sei denn, Sie haben sich bei einem ZDF-Informationsdienst angemeldet.) Wir informieren das vom Datendiebstahl betroffene Unternehmen sowie die entsprechende für den Datenschutz zuständige Behörde von dem Vorfall. Allerdings haben wir keinen Einfluss darauf, die auf einem chinesischen Webserver liegenden Daten zu löschen.

Um über die Brisanz des Datendiebstahls qualifiziert berichten zu können bittet Sie die WISO-Redaktion, an einer kurzen Umfrage zum Datendiebstahl teilzunehmen, selbstverständlich anonym (Beachten Sie die Hinweise am Ende der Mail).

Ihre Angaben können dabei helfen, dass die Zuschauer der Sendung für Probleme rund um die Datensicherheit im Internet sensibilisiert werden.
http://vote.wiso.zdf.de/

Mit freundlichen Grüßen

Zweites Deutsches Fernsehen / Redaktion WISO

Hier die Tipps zu einem sicheren Umgang mit Passwörtern, entnommen der Webseite http://www.bsi-fuer-buerger.de/ mit freundlicher Genehmigung des Bundesamtes für Sicherheit in der Informationstechnik.

1. Ein gutes Passwort
… sieht so aus: Es sollte mindesttens acht Zeichen lang sein. Tabu sind allerdings Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars usw. Und wenn möglich sollte es nicht in Wörterbüchern vorkommen. Zusätzlich sollte es auch Sonderzeichen (?!%…?) und Ziffern enthalten. Dabei sollten allzu gängige Varianten vermieden werden, also nicht 1234abcd usw. Einfache Ziffern am Ende des Passwortes anhängen oder eines der üblichen Sonderzeichen $, !, ?, #, am Anfang oder Ende eines ansonsten simplen Passwortes ist auch nicht empfehlenswert.

Aber wie merkt man sich ein solches Passwort? Auch dafür gibt es Tricks. Eine beliebte Methode funktioniert so: Man denkt sich einen Satz aus und benutzt von jedem Wort nur den 1. Buchstaben (oder nur den 2. oder letzten, etc.). Anschließend verwandelt man bestimmte Buchstaben in Zahlen oder Sonderzeichen.
Hier ein Beispiel:
„Morgens stehe ich auf und putze meine Zähne.“ Nur die 1. Buchstaben: „MsiaupmZ“. „i“ sieht aus wie „1“, „&“ ersetzt das „und“: „Ms1a&pmZ“.
Auf diese Weise hat man sich eine gute „Eselsbrücke“ gebaut. Natürlich gibt es viele andere Tricks und Methoden, die genauso gut funktionieren.

2. Passwörter regelmäßig ändern
Jedes Passwort sollte in regelmäßigen Zeitabständen geändert werden. Viele Programme erinnern Sie automatisch daran, wenn Sie das Passwort z. B. schon ein halbes Jahr benutzen. Diese Aufforderung nicht gleich wegklicken – sondern ihr am besten gleich nachkommen! Natürlich ist es da schwer, sich alle Passwörter zu merken. Womit wir beim nächsten Punkt sind.

3. Passwörter nicht notieren
Auch wenn es bei selten genutzen Zugangsdaten schwerfällt – grundsätzlich sollten Sie sich Passwörter nicht aufschreiben.

4. Keine einheitlichen Passwörter verwenden
Problematisch ist die Gewohnheit, einheitliche Passwörter für viele verschiedene Zwecke bzw. Zugänge (Accounts) zu verwenden. Denn gerät das Passwort einer einzelnen Anwendung in falsche Hände, so hat der Angreifer freie Bahn für Ihre übrigen Anwendungen. Das können z. B. die Mailbox oder alle Informationen auf dem PC sein.

5. Voreingestellte Passwörter ändern
Bei vielen Softwareprodukten werden bei der Installation (bzw. im Auslieferungszustand) in den Accounts leere Passwörter oder allgemein bekannte Passwörter verwendet. Hacker wissen das: Bei einem Angriff probieren sie zunächst aus, ob vergessen wurde, diese Accounts mit neuen Passwörtern zu versehen. Deshalb ist es ratsam, in den Handbüchern nachzulesen, ob solche Accounts vorhanden sind und wenn ja, diese unbedingt mit individuellen Passwörtern abzusichern.

6. Bildschirmschoner mit Kennwort sichern
Bei den gängigen Betriebssystemen haben Sie die Möglichkeit, Tastatur und Bildschirm nach einer gewissen Wartezeit zu sperren. Die Entsperrung erfolgt erst nach Eingabe eines korrekten Passwortes. Diese Möglichkeit gibt es nicht umsonst. Deshalb: Nutzen Sie sie! Ohne Passwortsicherung können unbefugte Dritte sonst bei vorübergehender Abwesenheit des rechtmäßigen Benutzers Zugang zu dessen PC erlangen. Natürlich ist es ziemlich störend, wenn die Sperre schon nach weniger Zeit erfolgt. Unsere Empfehlung: 5 Minuten nach der letzten Benutzereingabe. Zusätzlich gibt es die Möglichkeit, die Sperre im Bedarfsfall auch sofort zu aktivieren (z.B. bei einigen Windows-Betriebssystemen: Strg+Alt+Entf drücken).

Hinweise zu unserer Umfrage:
Die Teilnahme erfolgt anonym, persönliche Daten werden durch das Webformular nicht erhoben. Aus technischen Gründen protokollieren Webserver allerdings, von welchen IP-Adressen aus das Formular aufgerufen wurde – das Erstellen dieser Logdateien lässt sich nicht unterbinden. Diese Daten werden allerdings nicht zusammen mit den Umfrageergebnissen protokolliert, eine Rückverfolgung der Daten wäre nur sehr aufwendig möglich. Wer seine Anonymität beim Besuch von Webseiten wie dieser Umfrage umfassender gewahrt sehen möchte, der kann die folgenden Web-Anonymisierer nutzen. Für diese Dienste und deren Nutzung übernimmt das ZDF keine Haftung:…

Ich hab mir dann überlegt, wie man gerade zu dieser Kombination kommt. Das Passwort utze ich schon hier und dort in Foren und Web 2.0 Anwendungen. Diese nutze ich allerdings nur in Kombination mit einer anderen Mail-Adresse, die ruhig zugespammt werden kann.

Da die Mail an meine ordentliche Adresse geschickt wurde, hat mich das ein wenig gewundert.
Via Robert Basic bin ich auf den Blogbeitrag von Lidzba gekommen. In den Kommentaren dort wird darauf hingewiesen, dass sich einige, deren Daten missbraucht wurden, bei einer der Top-4 Wirtschaftsprüfungsgesellschaften beworben haben. Auch wenn der Name der Firma unkenntlich gemacht wurde, wird dort von einer mit den 3 Buchstaben gesprochen. Von den Top-4 Wirtschaftsprüfungsgesellschaften haben mindestens 2 eine Bezeichunung, die aus 3 Buchstaben besteht. Wenn man das &-Zeichen auch als einen Buchstaben ansieht, dann wären es schon mal drei der Top-4, die verdächtigt werden könnten.

Am nächsten Montag wird man es auf jedem Fall erfahren. Ich kann allerdings bestätigen, dass ich mich mit diesem Passwort und der guten Mail-Adresse bei den Wirtschaftsprüfungsgesellschaften beworben habe.

Man sieht hier allerdings auch, wie sorglos mit persönlichen Daten der Bewerber umgegangen wird. Alles hat einen professionellen Anstrich, die nützlichen Bewerber werden gezielt ausgesucht. Allerdings an die Sicherheit der Daten, die ja bei Wirtschftsprüfungsgesellschaften gut aufgehoben sein müssten, denkt wohl keiner.

Wenn eine der Top-4 Wirtschaftsprüfungsgesellschaften auf ihrem Servern auch mit sensiblen Daten ihrer Mandanten so umgehen würde, wäre diese wahrscheinlich recht schnell den Mandanten und meist die 40-Mio. EUR Prüfung los.

Was dann passiert, wurde in den Kommentaren des verlinkten Blogs beschrieben. Mit den Daten haben die Täter versucht, sich bei Bezahldiensten einzuloggen um den Personen einen finanziellen Schaden zuzufügen.

Mein Fazit:

Hab mich auch schon gewundert, wieso ich auf der privaten Adresse, die recht gut geschützt ist und die nirgendwo im Internet in Plain-Text angegeben wird und mit der ich mich bei keinem einzigen Forum angemeldet habe, inzwischen ab und zu Spam-Mails erhalte. Die Antwort wurde mir jetzt von Wiso präsentiert. Ich darf der WP-Gesellschaft nun dankbar sein, dass diese mich über den Missbrauch nicht aufgeklärt hat und dass ich mir demnächst eine neue private Mailadresse überlegen darf.

Außerdem hatten die Täter bestimmt Zugang zu Lebenläufen, Bewerbungen und Zeugnissen. Findige Betrüger können damit dann auch irgendwelche Doppelgänger erstellen. Plötzlich hat man dann einen Kredit, ein Auto in China oder sonst was, von dem man bisher noch nichts wusste.

Zu dem Grund für die Mail gibt es nun eine offizielle Stellungnahme von ZDF. Hier wird davon gesprochen, dass rund 56.000 Mail-Adressen samt Passwort aus der Bewerberdatenbank entwendet wurden. Damit die Betroffenen Ihre Passwörter rechtzeitig ändern können, wurden diese via Mail schon vor der Ausstrahlung der Sendung angeschrieben.

In einem weiteren Artikel auf Heise Online wird das Unternehmen, aus deren Datenbank die Daten entwendet wurden, direkt genannt. Ich kann bestätigen, dass ich mich vor gut 1,5 Jahren ebenfalls bei diesem Unternehmen beworben habe.

Golem berichtet ebenfalls davon, dass es einen Hackerangriff gegeben hat. Den Informationen von Golem solles sich um die Bewerberdatenbank von PWC gehandelt haben.

Inzwischen hat PWC PriceWaterhouseCoopers auf Ihrer Internetseite Stellung zu dem Hackerangriff und Raub der Daten genommen (zur die Pressemitteilung). Die Firma sieht es nicht so tragisch. Verantwortlich war ein externer Anbieter. Der wurde schnell um die Stillegung der Datenbank gebeten. Bei der Staatsanwaltschaft wurde Strafanzeige gegen unbekannt gestellt. Die Betroffenen hat man laut Überschrift informiert. Im Text wird allerdings davon gesprochen, dass man diese nach ud nach informieren möchte. Bei mir ist auch nichts eingetroffen.

Hier einige Passagen aus der Pressemittelung:

Das Wirtschaftsprüfungs- und Beratungsunternehmen PricewaterhouseCoopers (PwC) hat heute Strafanzeige gegen bislang unbekannte Daten-Hacker gestellt, die eine externe Servicedatenbank für Jobsuchende angegriffen und dabei Daten gestohlen haben. Diese von einem externen Serviceprovider betriebene Internet-Seite diente interessierten Nutzern zur vereinfachten Erstellung ihrer Bewerbung bei PwC.

Auf die Spur der Hacker kam PwC nach Hinweisen der ZDF-Redaktion Wiso am gestrigen Mittwoch. Unmittelbar eingeleitete Stichproben-Untersuchungen legen die Vermutung nahe, dass die Hacker die gestohlenen Adressen vor allem für Spam-Mails missbrauchen. Darüber hinaus sind E-Mail-Adressen und Passwörter neben Daten aus den Beständen anderer Unternehmen auf einem chinesischen Server aufgetaucht. PwC veranlasste seinen externen Serviceprovider umgehend zur Stilllegung der betroffenen Internet-Seite. PwC hat bereits damit begonnen, alle möglicherweise betroffenen Nutzer direkt über den Vorfall zu informieren und Hinweise zur eigenen Datensicherheit zu geben. PwC hat vorsorglich die Aufsichtsbehörde für den Datenschutz sowie die Berufsaufsicht von dem Hacker-Angriff und den eingeleiteten Sicherheitsmaßnahmen in Kenntnis gesetzt. Das Unternehmen wird die Ermittlungsbehörden in vollem Umfang bei der Aufklärung der Straftat unterstützen.

Im weiteren wird berichtet, dass die eigene Seite und die vertraulichen Informationen der Mandanten nicht ausgespäht wurden.

Was meint ihr? Wie findet ihr das Vorgehen von WISO? Ist es richtig die Geschädigten vor der Ausstrahlung des Beitrags zu informieren? Ist eine Anzeige bei der Staatsanwaltschaft seitens PwC und der Ausspruch des Bedauerns ausreichend?

Sofern jemand möchte, kann die Kommentarfunktion zum Meinungsaustausch genutzt werden.

6 Gedanken zu “Deine persönlichen Daten sind bei uns sicher (Missbrauch aufgedeckt von WISO)

  1. Dankeschön für die Info. Hab die Mail von ZDF ebenfalls bekommen. Bis zum Lesen dieses Beitrags und der verlinkten Beiträge war ich mir nicht sicher, ob es nicht irgendein Scherz ist. Mein Passwort wurde ebenfalls richtig wiedergegeben.

  2. Das ist echt unmöglich. Ich habe auch die gleiche Mail bekommen und hatte mich mal bei PWC beworben.
    Bisher habe ich nur von WISO eine Info bekommen.

    Somit ist aus meiner Sicht das Vertrauen zu dem Thema weg. :-(

  3. Durch eine Erhebung, Verarbeitung und Nutzung ist nach §3 Abs.4 Nr. 5 BDSG eine starke Kontrolle des Wirtschaftshandels durch die PricewaterhouseCoopers erforderlich. Eine unabsichtliche Interaktion durch einen Einbruch ist davon natürlich unabhäng, dann lässt sich diese Gesellschaft nur nachlässig dadurch kennzeichnen, das Datenschutzniveau zu niedrig angesetzt zu haben. Sollte diese AG allerdings von den Daten externen Nutzen gezogen haben, hat ein Datenmissbrauch stattgefunden. Ich nehme an, dass versuchen auch Staatsanwaltschaft intern zu klären. Die öffentlich zugänglichen Daten des Informationsdienstes Blue Coincidence sind auch vom Datenmissbrauch betroffen. Dass eine Verletzung durch WISO, die an die Trägerdatei gelangt sind, ausgeschlossen ist, ist natürlich logisch. Ich finde es nett, wenn man auf sein unsicheres Passwort aufmerksam gemacht wird. Meins hat auch „gestimmt“….

    Ich werde den Fall ausgiebig analysieren, zumal bei mir eingebrochen wurde und die Chinesen ihren Server verstecken…

    D.Grohmann/Blue Coincidence/Informationsdienst (BCI)

  4. @ Nina In der Nacht habe ich eine Info von PwC erhalten.
    Du wirst vermutlich heute morgen ebenfalls eine Info
    von PwC in deinem Mail-Postfach haben.

    Die an mich gerichtete Mail habe ich hier veröffentlicht.

    @ D.Grohmann/Blue Coincidence
    Vielen Dank für Ihr Kommentar. Mit Ihrer Aussage bestätigen Sie die Aussage von PwC, dass nicht nur Daten von PwC, sondern auch Daten anderer Firmen gehackt und entwendet wurden. Vielleich berichten Sie hier von Ihren Erkenntnissen nach der ausgibiegen Analyse. Waren Ihre Daten möglicherweise ebenfalls von dem gleichen Serviceprovider gespeichert, von dem die PwC in Ihrer Pressemitteilung spricht?

  5. Auch mein gmx Account wurde geknackt. jedoch erst am diese Woche. ich habe auch weder eine Mail von WISO noch von PwC bekommen. Wie verhalte ich mich nun? Wie kann ich mich wehren? Bringt es überhaupt was Strafanzeige zu stellen o.ä.?

  6. Pingback: WISO Datenklau: PwC hat sich zu Wort gemeldet. | Freeweb24.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *