Keine Bestellungen mehr bei Conrad
Eigentlich habe ich immer gerne bei Conrad Electronic eingekauft. Manchmal sogar wenn die Produkte dort teurer als bei Amazon waren.
Seit gestern allerdings nicht mehr. Ich habe mich dazu entschieden “meine Geschäftsbeziehungen” zu dieser Firma aufzugeben. Aus meiner Sicht wird dort nicht angemessen der Schutz der Kundendaten sichergestellt.
Es gab eine Datenpanne. Ich arbeite in der IT und weiß das dies trotz höchster Anstrengungen passieren kann. Die Frage ist wie man damit umgeht. Leider hält man es bei Conrad nicht für notwendig die Betroffenen zu informieren sondern glaubt das es ausreicht eine Information auf der Webseite zu veröfftentlichen. Das scheint auch die zuständige Datenschutzbehörde so zu sehen. Unabhängig von der juristischen Bewertung halte ich so ein Vorgehen für nicht akzeptabel.
Was genau ist passiert?
Die Datensätze bei uns registrierter Kunden, auf die Zugriff möglich gewesen wäre, umfassen Postadressen, teilweise E-Mail-Adressen bzw. Fax- und Telefonnummern und bei knapp einem Fünftel der betroffenen Datensätze auch IBANs.
Warum werden die Betroffenen nicht informiert?
Unsere IT-Experten haben die Sicherheitslücke im System identifiziert und geschlossen. Die betroffenen Daten waren nicht frei im Netz zugänglich, sondern nur durch Einsatz spezieller Software auffindbar, die sich Lücken in der Sicherung von Datenbanken zunutze macht. Nach gründlicher Überprüfung liegen weder uns noch den ermittelnden Behörden Hinweise darauf vor, dass Ihre Daten missbräuchlich verwendet worden wären.
Wo ist aus meiner Sicht das Problem?
- Der Hinweis auf den Einsatz spezieller Software kann man sich schenken. Nur weil Hinz und Kunz die Daten nicht hätte finden können ist das kein Hinweis auf ein echtes Problem die Daten zu bekommen.
- Es wird nicht dokumentiert “wie gründlich” man gesucht hat.
- Man kann nicht sicherstellen das sich der Zustand morgen nicht ändert.
- Die Daten sind aus meiner Sicht geeignet um personalisierte Phishing Angriffe zu formulieren
Es wäre kaum ein Aufwand gewesen alle Betroffenen zu mindestens eine Mail auf die Kundeninformation zuzusenden. Es soll ja auch Kunden geben welche nicht die Verlautbarungen jedes Versandhauses ständig verfolgen.
Damit werden aus meiner Sicht 14 Million Kunden einem erhöhtem Risiko für Angriffe ausgesetzt. Bei dieser Größenordnung von Daten lohnt sich ein Angriff. Das wäre mit verhältnismäßigem Aufwand zu verhindern gewesen.
Mit so einer Firma möchte ich nichts zu tun haben.