München - Der Chaos Computer Club (CCC) hat schwerwiegende Datenlecks bei den Kreditvermittlungsportalen Check24 und Verivox aufgedeckt. Diese Sicherheitslücken ermöglichten es Nutzern, sensible Darlehensverträge herunterzuladen, die persönliche Informationen wie Einkommensauskünfte und Kontonummern enthielten. Laut CCC-Sprecher Matthias Marx war es jedem möglich, auf Informationen zuzugreifen, die aufzeigten, wo die Nutzer leben, wie viele Kinder sie haben, wo sie arbeiten und welche finanziellen Verpflichtungen sie eingegangen sind.
Verivox gab an, dass das Datenleck umgehend geschlossen wurde, nachdem der CCC darauf hingewiesen hatte. Das Unternehmen betonte, dass außer dem Hinweisgeber kein unbefugter Zugriff auf die Daten festgestellt wurde und man davon ausgehe, dass für die Kunden kein Schaden entstanden sei. Der baden-württembergische Datenschutzbeauftragte hat bereits eine Prüfung des Vorfalls eingeleitet.
Check24 reagierte zunächst nicht auf Anfragen, bestätigte jedoch später, dass der Fehler behoben wurde und ebenfalls keine unbefugten Zugriffe festgestellt wurden. Die Mitarbeiter wurden nachgeschult, um ähnliche Vorfälle in Zukunft zu vermeiden.
Ein IT-Experte stieß im Juli auf die Schwachstellen bei Check24 und überprüfte daraufhin die Konkurrenzseite Verivox, wo er ähnliche Sicherheitslücken fand. Der CCC kritisierte den Umgang mit den Kundendaten als „stümperhaft“ und stellte fest, dass die Daten in beiden Fällen einfach über das Internet abrufbar waren, was den Begriff „Sicherheitslücke“ in diesem Kontext fast unangebracht erscheinen lässt.
Bei Check24 gab es zusätzlich eine zweite Sicherheitslücke, die mehr technisches Know-how erforderte. Diese ermöglichte den Zugriff auf detaillierte Kundendaten, einschließlich Namen, Geschlecht, Telefonnummer, E-Mail-Adresse, Geburtsdatum, Staatsangehörigkeit, Arbeitsverhältnis, Beschäftigungsdauer und weitere persönliche Informationen. Auch Informationen zu den beantragten Krediten, wie Kreditumfang und Kontoinformationen, waren betroffen.
Wie lange die Sicherheitslecks bestanden und wie viele Nutzer potenziell betroffen waren, ist derzeit unklar. Schätzungen zufolge könnten bei Verivox Datensätze von bis zu 75.000 Menschen zugänglich gewesen sein. Experten geben jedoch an, dass es bisher keine Hinweise darauf gibt, dass die Daten im Internet verbreitet oder kriminell genutzt wurden.
Die Vorfälle werfen ernsthafte Fragen zur IT-Sicherheit bei großen Vergleichsportalen auf, deren Geschäftsmodell auf der Verarbeitung sensibler Daten basiert. Die Vorfälle verdeutlichen die Notwendigkeit für Unternehmen, ihre Sicherheitsprotokolle zu überprüfen und zu verbessern, um den Schutz der persönlichen Daten ihrer Kunden zu gewährleisten.
In Anbetracht der hohen Sensibilität der betroffenen Daten ist es von entscheidender Bedeutung, dass die Unternehmen nicht nur auf die aktuellen Vorfälle reagieren, sondern auch proaktive Maßnahmen ergreifen, um zukünftige Sicherheitslücken zu verhindern und das Vertrauen ihrer Nutzer zu stärken.
Die Diskussion über Datenschutz und Datensicherheit wird in den kommenden Wochen und Monaten sicherlich weitergeführt werden, insbesondere im Hinblick auf die Verantwortung von Unternehmen im digitalen Zeitalter.
Quellen: Zeit Online, Tagesspiegel, Correctiv.