03.06.2015

Pressemitteilung: Ma├člose Schlamperei bei der Euroweb f├╝hrte zu Abfluss der Daten zigtausender Kunden

Offenbar hat in der j├╝ngsten Vergangenheit eine verbreitete Schlamperei bei der Euroweb Internet GmbH, welche als Konzernunternehmen auch unter „Internet Media Online GmbH“, „Webstyle GmbH“ auftritt, zu einem Abfluss von Daten zigtausender Kunden gef├╝hrt.

Diese Firma betreibt ein CRM, ausgerechnet auf einem Server in Bulgarien und behauptet, sie habe Sicherheitsvorkehrungen getroffen, damit auf die Daten dieses CRM nicht unbefugt zugegriffen werden k├Ânnen. Diese „Sicherheitsvorkehrungen“ erweisen sich nun offenbar als grob, ja geradezu ma├člos schlampig, was durch eine Klage der Firma gegen einen Blogger, der sich ├╝brigens seit Jahren mit kriminellen Aktivit├Ąten und Klagen krimineller Subjekte gegen Kritiker befasst, offenbar wurde. (LG D├╝sseldorf Az. 14c O 70/15)

Auf den Bericht ├╝ber die – recht merkw├╝rdige – Klage hin wurde durch, offenbar von Insidern stammende, anonyme Kommentare in einem von dem Kritiker betriebenen Meinungsforum folgendes ge├Ąu├čert:

Personen, von denen die Euroweb selbst behauptet, es handele sich um deren leitende Mitarbeiter, h├Ątten Passw├Ârter zugewiesen bekommen, die sich aus dem Anfangsbuchstaben von Namen und Vornamen sowie einer Zahlenfolge wie 123456 zugewiesen bekommen. Der Schl├╝ssel, also wie diese Passw├Ârter gebildet wurden, war offenbar einer gro├čen Zahl von Mitarbeitern bekannt, so dass im Prinzip jeder Mitarbeiter auch auf Daten anderer – und eben leitender Mitarbeiter – zugreifen und diese ├Ąndern konnte.

Dieser Missstand bestand demnach auch schon seit sehr langer Zeit und es gilt vielen als sicher, dass diese Firma gerade im Bereich des Vertriebs darunter leidet, dass eine enorme Anzahl von Mitarbeitern inzwischen "kamen und gingen" – oder „gegangen wurden“. Demnach d├╝rfte ein geradezu un├╝berschaubarer Kreis vom aktuellen und ehemaligen Mitarbeitern der Euroweb Kenntnis ├╝ber die Passw├Ârter anderer und eben auch leitender Mitarbeiter mit ausgedehnten Rechten haben.

Geradezu kurios ist es, dass die Euroweb Internet GmbH selbst in einem Weblog ├╝ber sichere Passw├Ârter wie folgt ├Âffentlich empfiehlt:
Hier sechs Tipps f├╝r Ihre Sicherheit: 
  1. Benutzen Sie nie ein Passwort mehrfach ....
  2. ├ändern Sie Ihr Passwort regelm├Ą├čig...
  3. Speichern Sie Ihr Passwort nie unverschl├╝sselt auf dem Computer...
  4. … Wenn es schon ein langes Passwort sein muss, dann empfiehlt sich die Verwendung von Zahlen, Buchstaben und Sonderzeichen.
  5. Telefonnummern, Geburtsdatum oder Hochzeitstage sind tabu.
  6. … Verraten Sie niemals anderen Ihr Passwort!
Noch kurioser ist, dass die Euroweb genau jenen Blogger, dem diese in der Klage, ohne jedoch auch nur halbwegs ernst zu nehmende Anhaltspunkte daf├╝r zu haben, jetzt auch noch einen Einbruch in deren CRM vorwirft, im Jahr 2013 verklagte, als dieser der Firma – die erweislich einen mehr als nur „abstrakten“ Bedarf an genau dieser Leistung hatte – eine Beratung zum Thema Sicherheit von Webseiten anbot. (LG D├╝sseldorf, Az. 34 O 32/12)

Redaktioneller Hinweis:

Sowohl dem Gesch├Ąftsf├╝hrer der Euroweb Internet GmbH, Christoph Preu├č als auch deren Haupteigent├╝mer Daniel Fratzscher wurde ein Entwurf des Artikels unter angemessener Fristsetzung vorgelegt. Die Euroweb Internet GmbH und auch die angeschriebenen haben sich aber nicht ge├Ąu├čert, insbesondere auch nicht widersprochen.

Kommentare:

Anonym hat gesagt…

Ein Mitarbeiter der Euroweb hat mir gerade geschrieben, dass die einfachen Passw├Ârter am 12. M├Ąrz 2015 ver├Ąndert wurden. Die neuen Passw├Ârter entsprechen zwar jetzt einer hohen Sicherheitsstufe, allerdings wurden die Mitarbeiter angewiesen, diese nicht unter Ber├╝cksichtigung von Sicherheitsrichtlinien zu ver├Ąndern. Vielmehr gibt es daf├╝r im System keine Option.
Angeblich wurden s├Ąmtliche Passw├Ârter in einem Dokument gespeichert und erm├Âglichen verschiedenen Personen auch weiterhin den Zugriff.
Man lernt dort auch nie dazu.

Pitty hat gesagt…

Das geht ja ├╝berhaupt nicht. Warum sollte man sich als Vorgesetzter ├╝berhaupt mit den Login-Daten des Mitarbeiters im System anmelden, wenn man in der Hierarchie sowieso auf dessen Daten zugreifen kann?
Daf├╝r gibt es nur eine Antwort! Betrug! Man will sich wohl eine Hintert├╝r offen lassen, um einem Mitarbeiter entweder Aktivit├Ąten anh├Ąngen zu k├Ânnen, die dieser nicht zu verantworten hat oder es gibt M├Âglichkeiten, das System zu manipulieren, ohne dass der Mitarbeiter davon Kenntnis erlangt.
Da die Passw├Ârter wohl an allen Standorten der Euroweb auf diese Art vergeben und verwaltet wurden, ist hier auch nicht von einer Verfehlung eines einzelnen Direktoren auszugehen.

. hat gesagt…

Zumindest laut den mir vorliegenden Handb├╝chern gibt es f├╝r die Mitarbeiter selbst tats├Ąchlich KEINERLEI M├Âglichkeit, dass Passwort zu ├Ąndern.

Erst der Agenturleiter (in Hannover also Denis Pohlan) hat diese und kann den MC und TL Passw├Ârter zuweisen.

Anonym hat gesagt…

Das ├ändern des Passwortes ist aber auch ├╝ber einen Trick f├╝r die Mitarbeiter m├Âglich und dringend zu empfehlen!

Man muss nur auf der Anmeldemaske auf Passwort vergessen klicken und bekommt dann einen Link an die private Emailadresse geschickt, die bei Euroweb gespeichert ist. Jetzt muss man nur den Anweisungen folgen und schon hat man ein individuelles Passwort, was man nur selbst kennt.

Das ist auch dringend jedem Mitarbeiter zu empfehlen, um Manipulationen zu empfehlen.

. hat gesagt…

Jetzt muss man nur den Anweisungen folgen und schon hat man ein individuelles Passwort, was man nur selbst kennt.

Aber nur so lange bis der Agenturleiter wieder ein anderes zuweist und das Ablegen eines Kleidungsst├╝ckes verlangt, weil man sein Passwort ge├Ąndert hat...

Aber O.K. - wenigstens merkt man es dann.

Kommentar ver├Âffentlichen