Sicher ist nur eins: Das Internet ist unsicher. Und das in wachsendem Ausmaß. Nachdem die klassischen Spam-Attacken einigermaßen im Griff sind, Würmer und ähnliche Ungeheuer als gebannt galten, richten sich die Angriffe der internationalen Hacker-Gemeinde immer mehr gegen Unternehmen.
Foto: Penny
Wer auch immer dahinter steckt, oft scheint es nur noch um die Demonstration dessen zu gehen, dass kein Unternehmen ungestraft von Datensicherheit auf seinen Web-Seiten oder bei seinen Services sprechen sollte. Erst RSA oder Amazon, dann Sony oder jetzt der Retailer Rewe samt Tochter.
Erst wurde versucht, bei Rewe Kundendaten auszulesen. Betroffen, so der Handelsriese zunächst, waren Anmeldedaten wie Namen, E-Mail-Adresse und Passwörter. Und zwar zunächst von solchen Kunden, die sich an Tauschbörsen oder an einer Fußballsammelbilder-Aktion beteiligt hatten.
Rewe gab schnell Entwarnung: Am Freitagabend, den 15. Juli, hieß es noch: Bank- und Kreditkartendaten nicht entwendet, Sicherheitslücke in den Datenbanken behoben. Die Nachrichtenagentur dpa meldete am Sonntag, den 18. Juli: "Wie lange das Datenleck bestand, konnte ein Rewe-Sprecher am Sonntagabend nicht sagen."
Foto: Rewe
Am Montag, den 19. Juli, teilte Rewe mit, man habe den Tipp zum Datenklau "aus der Szene" bekommen – also, mit anderen Worten, gar nicht selbst bemerkt: "Es gibt wohl ‚weiße Ritter" unter den Hackern, die bei Unternehmen anrufen, wenn sie eine Sicherheitslücke sehen. So ist das auch bei uns gewesen."
Sicherheitslücken ohne Ende
Die Sicherheitslücke habe etwa zwei Wochen bestanden. Insgesamt sollen sieben Datenbanken ausgelesen worden seien. Hacker stellten dann 52.000 gestohlene Datensätze ins Internet. Rewe richtete eine Hotline ein.
Passwörter waren unverschlüsselt gespeichert worden. Rewe beschuldigte einen externen Dienstleister, hier geschlampt zu haben: "Leider mussten wir feststellen, dass die Anmeldedaten im Klartext vorlagen. Wir waren davon ausgegangen, dass die Daten in einem ausreichend gesicherten System untergebracht seien."
Foto: Penny
Am Mittwoch, den 20. Juli, wurde bekannt, dass die Rewe-Tochter Penny ebenfalls einem Hackerangriff ausgesetzt war. Das Unternehmen nahm seine Web-Seite inklusive Datenbank vom Netz. Auch Administratordaten waren offenbar entwendet worden.
Später zog Rewe dann ebenfalls Konsequenzen, wegen einer Sicherheitsüberprüfung wurden die eigenen Sites ebenfalls stillgelegt. Ein Rewe-Sprecher: "Wir machen nach dem Hackerangriff eine komplette Sicherheitsüberprüfung. Deshalb sind die Seiten zeitweise nicht oder nicht vollständig erreichbar. Wir testen jetzt alles, was möglich ist."
Absolute Sicherheit im Web gibt es nicht
Auf einer Podiumsdiskussion, die der Hersteller Dell am 20. Juli in München mit CIOs durchführte ("Meet the Experts"), waren sich die Teilnehmer in einem Punkt vollkommen einig: Absolute Sicherheit im Internet gebe es nicht. Letztlich sei jedes Rechenzentrum, egal wo es auf dem Globus stehe, jederzeit potenziellen Hackerangriffen ausgesetzt.
Bleibt die Frage: Was tun?