PwC unterichtet die Betroffenen über den Datenmissbrauch der bei PwC gespeicherten Daten

In der Pressemitteilung von PwC wurde angekündigt, dass die ehemaligen Bewerber nach und nach über den Hackangriff und dem damit zusammenhängenden Datenmissbrauch bzw. Datenklau unterrichten werden.

Heute nacht ist die Mail von PwC tatsächlich mit dem folgenden Inhalt eingetroffen:

—– Original Message —–
From: PricewaterhouseCoopers@pwc.de
To: XXXXX@gmx.de
Sent: Thursday, September 04, 2008 10:51 PM
Subject: Aus aktuellem Anlass – PwC informiert

Sehr geehrte Damen und Herren,

aus aktuellem Anlass möchten wir Sie darüber informieren, dass unbekannte Daten-Hacker einen Angriff auf eine externe Servicedatenbank für Jobsuchende durchgeführt haben. PricewaterhouseCoopers (PwC) hat diese von einem externen Serviceprovider betriebene Internet-Seite genutzt, um Kandidaten die Bewerbung bei PwC zu ermöglichen. Leider müssen wir Ihnen
mitteilen, dass Ihre Daten von diesem rechtswidrigen Angriff auf unsere Systeme betroffen sein könnten.

Wir bedauern diesen Vorfall außerordentlich und haben inzwischen umfangreiche Maßnahmen ergriffen. PwC hat sofort reagiert und den Zugang zum System stillgelegt, so dass kein weiterer Zugriff auf die Datenbank möglich ist. Selbstverständlich haben wir unverzüglich die Staatsanwaltschaft eingeschaltet und Strafanzeige gegen die bislang unbekannten Daten-Hacker gestellt.

Aus Sicherheitsgründen empfehlen wir Ihnen, Ihre Zugangsdaten und insbesondere Ihr Passwort auf allen von Ihnen genutzten Webseiten unverzüglich zu ändern. Unmittelbar eingeleitete Stichproben-Untersuchungen legen die Vermutung nahe, dass die Hacker die gestohlenen Adressen vor allem für Spam-Mails missbrauchen. Darüber hinaus sind E-Mail-Adressen und Passwörter neben Daten aus den Beständen anderer Unternehmen auf einem chinesischen Server aufgetaucht. Bewerbungsunterlagen sind nach unseren Erkenntnissen nicht offen im Internet einsehbar.

Für Ihre Bewerbungsunterlagen bedeutet das: Wenn Sie Änderungen an Ihren Unterlagen vornehmen möchten, informieren Sie uns bitte auf dem postalischen Weg oder per E-Mail.

Anschrift: E-Mail:
PricewaterhouseCoopers AG personalmarketing@de.pwc.com
Personalmarketing & Recruiting
Olof-Palme-Straße 35
60439 Frankfurt am Main

Auf Wunsch löschen wir natürlich auch Ihre Daten in der Datenbank. Bitte teilen Sie uns dazu zum Zwecke der vollständigen Identifizierung Ihrer Person Ihren Namen und das Geburtsdatum mit, um Verwechslungen auszuschließen. Wenn Sie eine Bestätigung der Löschung erhalten möchten, benötigen wir auch Ihre E-Mail-Adresse. Gerne schicken wir Ihnen auch die
Bestätigung der Löschung per Fax oder per Post zu.

Für weitere Fragen steht Ihnen gerne unsere Hotline zur Verfügung. Diese erreichen Sie telefonisch unter 069/9585-2941. Selbstverständlich werden wir Sie über das weitere Vorgehen informieren.

Frank Brebeck Burkhard Schütte
Vorstand Personal Chief Information Officer

PricewaterhouseCoopers AG Wirtschaftsprüfungsgesellschaft

Vorsitzender des Aufsichtsrates
WP StB Reiner Dickmann

Vorstandsmitglieder
WP StB Hans Wagener · WP StB Peter Albrecht · WP StB Frank Brebeck · StB Prof. Dr. Dieter Endres
WP StB Ernst-Wilhelm Frings · WP RA Dr. Hans Friedrich Gelhausen · WP StB Werner Hölzl ·
WP StB Prof. Dr. Georg Kämpfer · WP RA StB Dr. Jan Konerding · WP StB Georg Kütter · Dr. Ludger Mansfeld
StB Marius Möller · WP StB Franz Nienborg · WP StB Gert-Michael Raabe
WP StB Martin Scholich · RA StB Christoph Schreiber · WP StB Dr. Norbert Vogelpoth
WP StB Franz Wagner · WP StB Wolfgang Wagner · WP StB Prof. Dr. Norbert Winkeljohann

Sitz: Frankfurt am Main – Amtsgericht Frankfurt am Main HRB 44845

Mitglied von PricewaterhouseCoopers International, einer Company limited by guarantee registriert in England und Wales

Das einzige, was mir an der Mail nicht gefällt, ist die Aussage, dass meine Daten betroffen sein könnten. Der Mail von WISO konnte eindeutig entnommen werden, dass diese betroffen sind. Desweiteren wird einem die Löschung der im Bestand befindlichen Daten angeboten. Hmmm wollte PwC das laut den Nutzungsbedingungen nicht ohne Aufforderung von allein eigentlich tun?

Was meint ihr, ist die Mitteilung von PwC ausreichend? Sollte eindeutig auf bestimmte Tatsachen hingewiesen werden? Sofern jemand möchte, kann die Kommentarfunktion zum Meinungsaustausch genutzt werden.

23 Gedanken zu “PwC unterichtet die Betroffenen über den Datenmissbrauch der bei PwC gespeicherten Daten

  1. Hi,
    ich habe diese Mail auch bekommen. Nur kann ich mich nicht erinnern, was ich mit der Firma am Hut haben könnte?!?
    „externe Servicedatenbank für Jobsuchende“ meinen die damit vielleicht Monster oder Stepstone?

  2. Wer der externe Anbieter sein soll, weiß ich leider nicht.
    Es ist, denke ich, unerheblich, da die Bewerbungsprozedur auf einer Unterseite von PwC angesiedelt war. Ob die Daten nun direkt bei PwC gelandet sind oder von einer externen Datenbank aufgenommen wurde und dann PwC zur Verfügung stand, ändert nichts daran, dass PwC die Verantwortung zu übernehmen hat. Schliesslich haben sie die externe Stelle beauftragt und deren Pflicht wäre es, für eine ausreichende Datensicherheit zu sorgen.

  3. Es handelt sich 100 % um Stepstone oder Monster.de!

    Ich hatte nie etwas mit PWC zu tun, erinnere mich aber über eine Anfrage über Stepstone, wo ich angemeldet bin!

    Auch mein Passwort und Email Adresse stammen von meiner Stepstone Registrierung!

    Ich werde meinen Account bei beiden Börsen umgehend löschen, da sie sowieso seit Jahren nicht mehr von mir genutzt wurden!

  4. Ich habe mich zu 100% bei PwC direkt beworben, daher kann ich nichts dazu sagen, wer der externe sein könnte. Die Geschäftsabläufe, bzw. wie die ihre Daten aggregieren, weiss man auch nicht. Kann auch sein, dass sie die Bewerbungen von den Jobbörsen, wie z.B. Stepstone oder Monster ebenfalls in Ihre interne Datenbank des Servieceproviders importiert haben.

    Wenn man bestimmte accounts nicht mehr braucht, dann sollte man diese löschen. Das lernt man zumindest aus diesem Fall.

    Fakt ist, dass egal wer der externe Serviceprovider war, die Hauptverantwortung und der Imageschaden bei PwC liegt. Die Alten Daten (zum Teil angeblich über 4 Jahre) löscht der externe Provider nicht von allein, sondern nur auf Anweisung des Auftraggebers.

  5. Hallo, ich habe ebenafalls eine Mail erhalten, sowohl von WISO als auch von PwC. Ich kann mich nicht entsinnen bei PwC eine Bewerbung getätigt zu haben…Ich habe zwar ältere Account bei Stepstone und Monster, diese aber unter einer anderen E-Mail Adresse…Meine Frage ist, wie kommt PwC an meine E-Mail adresse??? Welche Daten sind alle Betroffen (nur E-MAil Adresse)???

    In der Mail von WISO stand ein gekürtztes Passwort (*orrow). Steht das * für ein Zeichen???
    Ich habe keine Passwöerter mit einem orrow…Das finde ich ebenfalls kurios…Fragen über Fragen.

  6. Ja, die **** (Sternchen) stehen ebenfalls für Zeichen, die zum Passwort gehören. Hier im Kommentar und auch aus der Pressemitteilung von PwC geht hervor, dass auch andere Firmen von dem Datenraub betroffen sind. konkret werden die Firmen allerdings nicht genannt. Vielleicht haben alle den selben Serviceprovider und somit die selbe Software für Ihre Bewerberdatenbank gebraucht. Ist allerdings nur meine Vermutung. Mehr als ihr weiß ich natürlich nicht.

  7. Hallo, ich habe auch diese Mails von wiso bzw. pwc bekommen und hatte mich damals bei pwc direkt beworben. In der PWC Mail heisst es ja, das die Bw. Unterlagen nicht offen einsehbar sind im Internet. Denkt Ihr die haben nur die Emails + passwörter geklaut oder gleich die ganzen Bw. Unterlagen??? (Lebenslauf, Zeugnisse etc.) Allein der Gedanke daran macht einen Alt.

  8. Ich habe den wichtigen Teil in der PwC-Mail leider nicht gefunden. Der würde etwa wie folgt lauten:

    “Es tut uns Leid. Wir haben Mist gebaut. Wir haben die Passwörter plaintext gespeichert / speichern lassen, so etwas darf selbstverständlich eigentlich nicht vorkommen. Wir beraten zwar zur IT-Security, aber haben wohl vergessen, bei uns an dieser Stelle die notwendige Aufmerksamkeit walten zu lassen. Wir versichern Ihnen: Es ist uns peinlich. Auch dass die Daten über Jahre gespeichert wurden, ist selbstverständlich als Fehler zu bezeichnen. Da die Daten gestohlen wurden, haben wir Strafanzeige erstattet, was aber nicht davon ablenken soll, dass schwere und schwerste Fehler auf unserer Seite gemacht wurden.” Danach meinetwegen das ganze Blabla, was man in die Wege geleitet habe…

    Ich weiß nicht, vielleicht bin ich ja etwas penibel – aber ich empfand Pressemitteilung und nunmehr die Kommunikation mit den Betroffenen als absolute Frechheit. Ist es SOOO schwierig, einzugestehen, dass man richtig daneben gehauen hat?

    Wie soll das Vertrauen wiedererstehen, wenn es kein ungeschminktes Schuldeingeständnis gibt? Ich hoffe, dass PwC diese Attitüde noch mehr auf die Füße fällt als der Vorfall selbst… 😐

    @Faris: Der „*“ steht für ein Zeichen.

    @all – wenn Ihr eine PwC-Mail bekommen habt, dürft Ihr auch rel. sicher sein, dass Ihr mal da einen Account angelegt habt. Ich will ja nicht zu viele Vermutungen über die Gedächtnisleistungsverteilung unter 56.000 Betroffen machen 😉 — aber bedenkt auch, dass die Daten vier Jahre oder älter sein können. Und einen Account anlegen geht in 2 Minuten…

    @Ralf /Wenn/ hier Daten von StepStone / Monster – inkl. PW – an PwC weiter gegeben wurden, wäre das nochmal ein zusätzlicher Skandal. Ich neige allerdings zu meiner o.a. Auffassung, das ich das für unwahrscheinlich und auf „Vergessen“ zurückführe. Wer 110%ig meint, dass dem nicht so sei, sollte sich dringend bei der WiSo-Redaktion melden…

  9. Hallo SomeOne,

    so wie das von dir formulierte Schuldeingeständnis aussieht, wird es wohl keine Firma abgeben auch wenn sie es wollen würde. Die ganzen Anwälte, die solche Firmen beschäftigen würden alle samt amok laufen.
    Die Anwälte der Konkurrenz würden lächeln und meinen, man soll so unfähige Anwälte erschiessen.

    Wenn PwC die Schuld auf sich nehmen würde, wären sie bei Schäden auch schadensersatzpflichtig.

    Da sie sich auch in einer Opferrolle sehen, hoffen sie, dass nur wenige darauf kommen, Forderungen gegen sie zu stellen.

  10. @Jan007: „Wenn PwC die Schuld auf sich nehmen würde, wären sie bei Schäden auch schadensersatzpflichtig.“ – Nein, dass sie grob fahrlässig gehandelt haben, ist vollkommen klar (Passwörter im Klartext zu speichern entspricht nicht dem „Stand der Technik“, und da sie es bewusst gemacht haben / haben machen lassen, kommt zur Fahrlässigkeit die Grobheit hinzu ;-)). Das gleiche gilt im Wesentlichen für die Dauer der Speicherung.

    Daher würde sich PwC rechtlich nichts abschneiden, wenn sie den Mist, den sie gebaut haben, auch als solchen bezeichnen würden. Die Bewerber bei der Firma, deren Vertrauen PwC nun wirklich benötigen sollte, so zu „verarschen“ (sorry), empfinde ich daher einfach als SEHR unangenehm…

  11. @ SomeOne Deine Aussage stimmt meiner Meinungnach nur zum Teil. es entspricht inzwischen nicht dem Standart Passwörter unverschlüsselt zu hinterlegen. Da gebe ich dir zu 100% recht.

    Den schritt, den du dann machst, ist meiner Einschätzung nach recht groß. Du sagst nämlich dann, dass das Abspeichern von Passwörtern im Plaintext grob fahrlässig ist.

    Es gibt nirgendwo eine Vorchrift, dass man Passwörter verschlüsseln muss. Das steht auch nicht im Gesetz. Die Tatsache, dass die Passwörter nicht verschlüsselt waren, heißt nicht, dass PwC grob fahrläßig gehandelt hat.

    Sie müssen die Daten der Bewerber angemessen schützen. Es wäre eher grob fahrlässig, wenn sie die Passwörter im Plaintext offen auf ihrem Server gehalten hätten, so dass z.B. auch die suchmaschine Google diese durchsuchen kann.

    Ihren Aussagen nach gab es einen Hackerangriff, der diese erst danach entwenden konnte. Daher denke ich, dass die Passwörter schon in einem geschützten bereich des Servers lagen.

    Für die Bewerber, wie mich ist es schon ärgerlich. Bisher ist mir allerdings noch kein finanzieller Schaden entstanden. Den Imageverlust, den PwC damit derzeit erleidet, finde ich auch angemessen.

    Ich würde das ganze eher als fahrlässig einordnen. PwC wusste, dass es üblch ist, Passwörter zu verschlüsseln. Das kann man aufgrund der IT-Checks bei geprüften Unternehmen annehmen. Sie hat die Gefahr bei der Bewerberdatenbank nicht gesehen oder nur teilweise in in Kauf genommen, da das System wohl eh älter war und durch ein eues Modell ersetzt werden sollte.

    Dass PwC die Daten nach einer angemessenen Zeit nicht gelöscht hat, dass muss PwC noch irgendwie erklären. Das ist meiner Meinung nach eindeutig nicht in Ordnung.

  12. Ach ja, meiner Meinung nach wird der Hype und die Wut der Betroffenen erst am Montag nach der Sendung dem Unternehmen richtig mitgeteilt.

    Wenn dann noch der Inhalt der Datenbank auf diesem chinesischen Server irgendwo verlinkt wird und auftaucht, dann prost Mahlzeit, wird es richtig rund gehen.

    Dann werden die einen Möchtegern Datenschützer über die andere seiten jeden versuchen zu informieren.

    Ich hoffe außerdem auch, dass sich die Häcker nur auf Mails und Passwörter konzentriert haben. wenn sie auch die lebensläufe, bewerbungen und zeugnisse schön downgeloadet haben, dann wirds richtig lustig.

  13. @Jan007: „Es gibt nirgendwo eine Vorchrift, dass man Passwörter verschlüsseln muss. Das steht auch nicht im Gesetz.“ — ein konkreter Sachverhalt, was (grob) fahrlässig ist, steht praktisch /nie/ im Gesetz; das ist ja der Witz der Formel, dass sie generisch ist. Ein unbewusster Verstoß gegen den „Stand der Technik“ ist mind. fahrlässig, ein bewusster grob fahrlässig. Und vorliegend wusste PwC davon. Passwörter nicht plaintext abzuspeichern ist seit über 10 Jahren ein bekanntes absolutes NoNo.

    „Wenn dann noch der Inhalt der Datenbank auf diesem chinesischen Server irgendwo verlinkt wird“ — das hoffe ich ja nicht. Denn auch wenn WiSo die Betroffenen informiert hat, müssen das innerhalb von 5 Tagen ja nicht alle gelesen haben (Urlaub, Krankheit, …). Die Adresse, unter der es die Daten gibt, sollte schön geheim gehalten werden.

    „Ich hoffe außerdem auch, dass sich die Häcker nur auf Mails und Passwörter konzentriert haben.“ — zumindest hätte jeder, der die Kombinationen mail-Adresse / PwC-Passwort besitzt, gute Chancen, alleine damit auf die Bewerbungsdaten (inkl. CV, Zeugnisse etc) zuzugreifen; denn zum einen verwenden die meisten Menschen eine einfache Kombination aus Vor- und Nachnamen, und diese geht sehr häufig schon aus der Mail-Adresse hervor. Zum anderen wird es sehr viele Datensätze geben, wo User einheitliche Passwörter verwenden, so dass auch ein Zugriff auf das Mail-Konto möglich ist. Gerade dann aber ließ sich mit der PW-Vergessen-Funktion (für die nur die Eingabe der Mail-Adresse ausreichte) auch der Benutzername an die Mail-Adresse senden. Die Daten dürften also mit geringer krimineller Energie in zumindest grob ca. 80% der Betroffenen ohne echten Aufwand zugreifbar gewesen sein (für die Daten-Diebe waren vermutlich alle Daten zugreifbar).

  14. @SomeOne Dankeschön für deinen Kommentar. Ich denke trotzdem, dass es eher fahrlässig gewesen ist, das System so auszustatten. Für PwC schienen die Bewerberunterlagen nicht die höchste Sicherheitspriorität gehabt zu haben.

    Die haben wahrscheinlich darüber nicht nachgedacht, was man mit den Daten machen kann. Sie nahmen vermutlich an, dass die Nutzer/Bewerber für den Zugriff nicht ihr Standartpasswort nehmen, sondern irgendwas Leichteres.

    Wie die Verteilung tatsächlich ist, wird die Auswertung der ZDF/WISO Umfrage ergeben, auf die das WISO Team in der Warnmail hingewiesen hat.

    Ich würde es allerdings genau so wie du einschätzen. Ein großer Anteil der Bewerber wird wohl das allseits genutzte Standartpasswort auch für diese Anwendung genommen haben. Ich würde hierbei auf 60% tippen.

    Es ist allerdings nur Spekulation. Wenn natürlich PwC bewusst wäre, wie brisant die Daten sind, die sie auf einem veralteten System speichern, könnte man schon von gober Fahrlässigkeit sprechen.

    Was allerdings grob fahrlässig und was „nur“ fahrlässig ist, entscheiden im Endeffekt die Gerichte. Bei einer goben Fahrlässigkeit muss schon der Vorsatz nachgewiesen werden. Also denen muss das Risiko bewußt gewesen sein und die haben es dann trotzdem in Kauf genommen.

  15. @Jan007: „Wenn natürlich PwC bewusst wäre, wie brisant die Daten sind, die sie auf einem veralteten System speichern, könnte man schon von gober Fahrlässigkeit sprechen.“ — :-) PwC ist unter anderem in der IT-Security-Beratung tätig. Wer, wenn nicht PwC, soll das denn denn wissen :-)

    http://www.pwc.de/portal/pub/!…

  16. Mal schauen, was PwC für die Leute macht, die tatsächlich geschädigt wurden.

    In dem Blog von Matthias Lidzba hat sich ja jemand gemeldet, dem 50 Euro von Paypal entwendet wurden. Er hat nach zahlreichen telefonaten mit dem PayPal Support erst die zur Rückgabe des Geldes veranlasst.

    Die Telefonate haben natürlich auch zeit und Geld gekostet. Der Raub könnte auf den Datenklau bei PwC zurückführbar sein. Ohne die Daten hätten die Hacker das PayPal-Konto nicht ausrauben können.

  17. Tja, dat wird ja immer interessanter. Bin echt gespannt auf den Montag, wenn das ganze erst richtig medienwirksam veröffentlicht wird.

    Die Debatte um Datenschutz wird es natürlich verstärken. Die Politiker können dann die Keule mit ihrer Regelwut auspacken.

  18. TheOtherOne hat auf Golem (http://forum.golem.de/read.php?27591,1443518,1444466#msg-1444466) dankenswerterweise schnell mal recherchiert, wer denn der ominöse “externe Service-Provider” ist, der die PwC-Bewerberakte gestrickt hat. Offensichtlich eine kleine Agentur aus Frankfurt a.M. (ihre Eigendarstellung “15 Mitarbeiter” stammt auf ihrer eigenen Seite von 2005), “High-End communications” (vgl. dortige Referenz-Angaben mit Link).

    Tja, die dürften so unbekannt sein, dass ihnen das am Ende des Tages niemand zum Vorwurf machen wird – peinlich trotzdem. Die Verantwortung trägt aber weiterhin schon PwC in erster Linie, da – inzwischen habe ich das oft hervorgehoben, ich weiß 😉 – beide Grobfehler (Speicherung PW in Klartext, Länge der Datenspeicherung) mit Wissen bzw. gar Willen von PwC gemacht wurden. Schuld abschieben geht also net… (wer weiß, vielleich hat High-End sogar vor der Speicherung im Klartext gewarnt… aus der Selbstdarstellung: “Unsere Ideen vertreten wir nachhaltig – aber der Kunde hat das Recht, zu entscheiden.” ;-))

  19. Könnte schon sein, dass du recht hast. Die Indizien mit dem Laden aus Frankfurt Rödelheim sprechen zumindest dafür. Wer jetzt tatsächlich schuld ist, können wir extern nicht feststellen. Der Imageschaden bleibt bei PwC. Dat ist auf jedem Fall sicher.

  20. „Gegenüber heise Security sagte Heinz Wittel von der High-End communications GmbH, dem Datenbankdienstleister von PwC, dass ein Angriff auf die PwC-Datenbank schon im März stattgefunden haben. Allerdings habe man nicht feststellen können, ob Daten manipuliert oder ausgelesen wurden. Daher habe man keine weiteren Maßnahmen ergriffen.“ (http://www.heise.de/newsticker/Gestohlene-PwC-Datensaetze-fuer-Missbrauch-von-Click-Buy-benutzt–/meldung/115621)

    Ja obercool. Wenn die Daten tatsächlich online geklaut wurden, spricht das ja massiv gegen die Einschätzungskompetenz von „High-End“ („lustiger“ Name in diesem Zusammenhang der peinlichen Anfängerfehler-Pannen). Bliebe die Frage noch offen, ob auch der Dienstleistungskunde = PwC über den Angriff informiert wurde, und ob auch dieser sagt: Ruhige Kugel schieben, mal so tun, als ob nix gewesen wäre…

    Also, in Summe jedenfalls: NOCH ein Versäumnis mehr :-(

  21. jetzt habe ich auch den WISO Bericht gesehen. Unter anderem sagt der Sprecher vo PWC, dass man als Bewerber hätte sein Daten selbst löschen können.

    Zum anderem erzählt er, dass man bei PWC sich eine bewerber-Mappe zusammenstellen konnte und sich damit auch bei anderen Unternehmen hätte bewerben können.

    Da sag ich nur: Hallo! Wie sollen die anderen Unternehmen auf die Daten bei PWC zugreifen? Wahrscheinlich indem ich denen Meine Zugangsdaten zusende?

  22. Das schlimmste daran ist, dass PwC den Vorfall verharmlost. Als sei nichts geschehen und man könne sich seelenruhig weiterhin auf deren Webseiten bewerben…

    Anstatt dass Sie die Schuldigen beim Namen nennen, welche die Kosequenzen dafür tragen werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *