Hol dir jetzt die beste News-App der Schweiz!
- watson: 4,5 von 5 Sternchen im App-Store ☺
- Tages-Anzeiger: 3,5 von 5 Sternchen
- Blick: 3 von 5 Sternchen
- 20 Minuten: 3 von 5 Sternchen
Du willst nur das Beste? Voilà:
Beim Versuch, eine Domain zum Schweizer Hosting-Provider green.ch zu transferieren, macht watson-Leser Ueli M. (Name der Redaktion bekannt) eine beunruhigende Entdeckung. Er erhält unvermittelt Zugriff auf ein fremdes Kundenkonto.
Bei der betroffenen Firma handelt es sich um einen langjährigen Kunden von green.ch – ein international tätiges Unternehmen. Verfolgt man die Rechnungshistorie ein paar Jahre zurück, kumulieren sich die Kosten auf weit über eine Million Franken.
«Ich war völlig perplex, als mir bewusst geworden ist, dass ich in einem fremden Konto gelandet bin und es sich erst noch um einen so dicken Fisch handelt», erklärt Ueli M. gegenüber watson.
Wie Recherchen zeigen, hatte er Zugriff auf den gesamten «Kunden-Bereich», inklusive Rechnungshistorie. Ueli M. hätte demnach die Rechnungs-Versandart und das Passwort ändern können – was er aber in weiser Voraussicht unterlassen hat.
«Mir wurde es etwas mulmig. Einerseits, weil ich mich in einem fremden Konto bewegt hatte, andererseits, weil ich mir selber nicht mehr sicher war, ob meine Daten bei green.ch noch sicher sind», schildert Ueli M. sein Erlebnis. Bevor er sich ausgeloggt habe, machte er ein paar Screenshots.
watson hat bei green.ch den Fall des watson-Lesers geschildert und wollte von der verantwortlichen Kommunikationsleiterin Susanne Felice wissen, ob der Hosting-Provider von einer gravierenden Sicherheitslücke betroffen sei.
Wie erklären Sie sich, dass Ueli M. vollen Zugriff auf ein fremdes Kundenkonto von
green.ch erhalten hat?
Susanne Felice: Es handelt sich im geschilderten Fall nicht um ein Kundenkonto, sondern
um ein Rechnungsportal. Es dient ausschliesslich für die Ablage von Rechnungen. Dies ist ein entscheidender Unterschied.
Und wie ist es möglich, dass diese Daten Ihres Kunden von Fremden eingesehen werden konnten?
Wir haben umgehend den Vorgang untersucht und sind auf einen einmaligen Fehler gestossen,
der nicht systematischer Natur ist. Dabei hat die Verkettung von drei Ursachen die
entscheidende Rolle gespielt. Einerseits ein fehlgeschlagener Anmeldeprozess in
einer seltenen Form, andererseits eine falsche Rückmeldung der Datenbank zu
einem bestimmten Zeitpunkt sowie ein falsch benanntes Dokument des
betroffenen Kunden. Nur in der Verkettung dieser drei Ereignisse war es möglich, dass
eine falsche Kundenzuweisung geschah und einmalig das Rechnungsportal eines
anderen green.ch-Kunden aufgerufen wurde. Der Vorfall betraf also einen einzelnen Kunden und war zu keiner Zeit auf andere
Kunden übertragbar. Entsprechende Analysen belegen
dies zweifelsfrei.
Die Sicherheit der Daten war also zu jedem Zeitpunkt gewährleistet?
Es bestand zu keiner Zeit ein Sicherheitsrisiko für den betroffenen
Kunden, einzig die von uns fakturierten Rechnungen und damit
zusammenhängende Leistungen waren einsehbar.
Passwort und Rechnungsanschrift hätten sich problemlos ändern lassen...
Das stimmt, aber Berechtigungen, Personendaten oder andere sicherheitsrelevante Informationen werden von green.ch nicht in diesem Rechnungsportal angezeigt, sondern werden in isolierten Systemen verwaltet. Es sind auch keine Leistungen veränderbar oder löschbar. Und beim Passwort handelte es sich nur um jenes der Rechnungsablage.
Sie sind sich sicher, dass keine anderen Kunden davon betroffen waren?
Wir können mit Sicherheit ausschliessen, dass weitere Kunden davon betroffen
waren. Die Sicherheit der bei uns gespeicherten Daten hat für uns höchste Priorität.
Daher setzen wir auch auf allen Ebenen Systeme und Prozesse ein, um den
Schutz zu gewährleisten. Dass die Verkettung der Ereignisse zu einem Zugriff auf
die Rechnungen eines Kunden geführt hat, bedauern wir ausserordentlich.
Welche Massnahmen planen Sie, um Ihre Kunden künftig besser zu schützen?
Wir investieren laufend in die Sicherheit unserer Systeme, sei es um Attacken
abzuwehren, missbräuchliche Zugriffe zu verhindern oder ganz einfach die
Verfügbarkeit unserer Leistungen zu gewährleisten. Aus dem vorliegenden Fall
haben wir unmittelbar Konsequenzen gezogen: Wir haben das Rechnungsportal des betroffenen Kunden sofort vorsorglich gesperrt. Das Ereignis wurde untersucht,
dokumentiert und binnen 90 Minuten wurden weitere Sicherheitsparameter hinzugefügt,
obwohl ein erneuter Zugriff zu diesem Zeitpunkt gar nicht mehr möglich war.