Am Montag, den 19. Juli, teilte Rewe mit, man habe den Tipp zum Datenklau "aus der Szene" bekommen – also, mit anderen Worten, gar nicht selbst bemerkt: "Es gibt wohl ‚weiße Ritter" unter den Hackern, die bei Unternehmen anrufen, wenn sie eine Sicherheitslücke sehen. So ist das auch bei uns gewesen."

Sicherheitslücken ohne Ende

Die Sicherheitslücke habe etwa zwei Wochen bestanden. Insgesamt sollen sieben Datenbanken ausgelesen worden seien. Hacker stellten dann 52.000 gestohlene Datensätze ins Internet. Rewe richtete eine Hotline ein.

Passwörter waren unverschlüsselt gespeichert worden. Rewe beschuldigte einen externen Dienstleister, hier geschlampt zu haben: "Leider mussten wir feststellen, dass die Anmeldedaten im Klartext vorlagen. Wir waren davon ausgegangen, dass die Daten in einem ausreichend gesicherten System untergebracht seien."

Am Mittwoch, den 20. Juli, wurde bekannt, dass die Rewe-Tochter Penny ebenfalls einem Hackerangriff ausgesetzt war. Das Unternehmen nahm seine Web-Seite inklusive Datenbank vom Netz. Auch Administratordaten waren offenbar entwendet worden.

Später zog Rewe dann ebenfalls Konsequenzen, wegen einer Sicherheitsüberprüfung wurden die eigenen Sites ebenfalls stillgelegt. Ein Rewe-Sprecher: "Wir machen nach dem Hackerangriff eine komplette Sicherheitsüberprüfung. Deshalb sind die Seiten zeitweise nicht oder nicht vollständig erreichbar. Wir testen jetzt alles, was möglich ist."