Seiten

03.06.2015

Pressemitteilung: Maßlose Schlamperei bei der Euroweb führte zu Abfluss der Daten zigtausender Kunden

Offenbar hat in der jüngsten Vergangenheit eine verbreitete Schlamperei bei der Euroweb Internet GmbH, welche als Konzernunternehmen auch unter „Internet Media Online GmbH“, „Webstyle GmbH“ auftritt, zu einem Abfluss von Daten zigtausender Kunden geführt.

Diese Firma betreibt ein CRM, ausgerechnet auf einem Server in Bulgarien und behauptet, sie habe Sicherheitsvorkehrungen getroffen, damit auf die Daten dieses CRM nicht unbefugt zugegriffen werden können. Diese „Sicherheitsvorkehrungen“ erweisen sich nun offenbar als grob, ja geradezu maßlos schlampig, was durch eine Klage der Firma gegen einen Blogger, der sich übrigens seit Jahren mit kriminellen Aktivitäten und Klagen krimineller Subjekte gegen Kritiker befasst, offenbar wurde. (LG Düsseldorf Az. 14c O 70/15)

Auf den Bericht über die – recht merkwürdige – Klage hin wurde durch, offenbar von Insidern stammende, anonyme Kommentare in einem von dem Kritiker betriebenen Meinungsforum folgendes geäußert:

Personen, von denen die Euroweb selbst behauptet, es handele sich um deren leitende Mitarbeiter, hätten Passwörter zugewiesen bekommen, die sich aus dem Anfangsbuchstaben von Namen und Vornamen sowie einer Zahlenfolge wie 123456 zugewiesen bekommen. Der Schlüssel, also wie diese Passwörter gebildet wurden, war offenbar einer großen Zahl von Mitarbeitern bekannt, so dass im Prinzip jeder Mitarbeiter auch auf Daten anderer – und eben leitender Mitarbeiter – zugreifen und diese ändern konnte.

Dieser Missstand bestand demnach auch schon seit sehr langer Zeit und es gilt vielen als sicher, dass diese Firma gerade im Bereich des Vertriebs darunter leidet, dass eine enorme Anzahl von Mitarbeitern inzwischen "kamen und gingen" – oder „gegangen wurden“. Demnach dürfte ein geradezu unüberschaubarer Kreis vom aktuellen und ehemaligen Mitarbeitern der Euroweb Kenntnis über die Passwörter anderer und eben auch leitender Mitarbeiter mit ausgedehnten Rechten haben.

Geradezu kurios ist es, dass die Euroweb Internet GmbH selbst in einem Weblog über sichere Passwörter wie folgt öffentlich empfiehlt:
Hier sechs Tipps für Ihre Sicherheit: 
  1. Benutzen Sie nie ein Passwort mehrfach ....
  2. Ändern Sie Ihr Passwort regelmäßig...
  3. Speichern Sie Ihr Passwort nie unverschlüsselt auf dem Computer...
  4. … Wenn es schon ein langes Passwort sein muss, dann empfiehlt sich die Verwendung von Zahlen, Buchstaben und Sonderzeichen.
  5. Telefonnummern, Geburtsdatum oder Hochzeitstage sind tabu.
  6. … Verraten Sie niemals anderen Ihr Passwort!
Noch kurioser ist, dass die Euroweb genau jenen Blogger, dem diese in der Klage, ohne jedoch auch nur halbwegs ernst zu nehmende Anhaltspunkte dafür zu haben, jetzt auch noch einen Einbruch in deren CRM vorwirft, im Jahr 2013 verklagte, als dieser der Firma – die erweislich einen mehr als nur „abstrakten“ Bedarf an genau dieser Leistung hatte – eine Beratung zum Thema Sicherheit von Webseiten anbot. (LG Düsseldorf, Az. 34 O 32/12)

Redaktioneller Hinweis:

Sowohl dem Geschäftsführer der Euroweb Internet GmbH, Christoph Preuß als auch deren Haupteigentümer Daniel Fratzscher wurde ein Entwurf des Artikels unter angemessener Fristsetzung vorgelegt. Die Euroweb Internet GmbH und auch die angeschriebenen haben sich aber nicht geäußert, insbesondere auch nicht widersprochen.

5 Kommentare:

Anonym hat gesagt…

Ein Mitarbeiter der Euroweb hat mir gerade geschrieben, dass die einfachen Passwörter am 12. März 2015 verändert wurden. Die neuen Passwörter entsprechen zwar jetzt einer hohen Sicherheitsstufe, allerdings wurden die Mitarbeiter angewiesen, diese nicht unter Berücksichtigung von Sicherheitsrichtlinien zu verändern. Vielmehr gibt es dafür im System keine Option.
Angeblich wurden sämtliche Passwörter in einem Dokument gespeichert und ermöglichen verschiedenen Personen auch weiterhin den Zugriff.
Man lernt dort auch nie dazu.

Pitty hat gesagt…

Das geht ja überhaupt nicht. Warum sollte man sich als Vorgesetzter überhaupt mit den Login-Daten des Mitarbeiters im System anmelden, wenn man in der Hierarchie sowieso auf dessen Daten zugreifen kann?
Dafür gibt es nur eine Antwort! Betrug! Man will sich wohl eine Hintertür offen lassen, um einem Mitarbeiter entweder Aktivitäten anhängen zu können, die dieser nicht zu verantworten hat oder es gibt Möglichkeiten, das System zu manipulieren, ohne dass der Mitarbeiter davon Kenntnis erlangt.
Da die Passwörter wohl an allen Standorten der Euroweb auf diese Art vergeben und verwaltet wurden, ist hier auch nicht von einer Verfehlung eines einzelnen Direktoren auszugehen.

. hat gesagt…

Zumindest laut den mir vorliegenden Handbüchern gibt es für die Mitarbeiter selbst tatsächlich KEINERLEI Möglichkeit, dass Passwort zu ändern.

Erst der Agenturleiter (in Hannover also Denis Pohlan) hat diese und kann den MC und TL Passwörter zuweisen.

Anonym hat gesagt…

Das Ändern des Passwortes ist aber auch über einen Trick für die Mitarbeiter möglich und dringend zu empfehlen!

Man muss nur auf der Anmeldemaske auf Passwort vergessen klicken und bekommt dann einen Link an die private Emailadresse geschickt, die bei Euroweb gespeichert ist. Jetzt muss man nur den Anweisungen folgen und schon hat man ein individuelles Passwort, was man nur selbst kennt.

Das ist auch dringend jedem Mitarbeiter zu empfehlen, um Manipulationen zu empfehlen.

. hat gesagt…

Jetzt muss man nur den Anweisungen folgen und schon hat man ein individuelles Passwort, was man nur selbst kennt.

Aber nur so lange bis der Agenturleiter wieder ein anderes zuweist und das Ablegen eines Kleidungsstückes verlangt, weil man sein Passwort geändert hat...

Aber O.K. - wenigstens merkt man es dann.

Kommentar veröffentlichen