Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.

Computer-Panne bei green.ch: Per Mausklick in fremdem Kundenkonto gelandet

Wegen eines mysteriösen Fehlers bei einem der grössten Internet-Provider des Landes erhielt ein watson-Leser Zugriff auf fremde Kundendaten. Green.ch spricht von einer Verkettung unglücklicher Umstände.



Beim Versuch, eine Domain zum Schweizer Hosting-Provider green.ch zu transferieren, macht watson-Leser Ueli M. (Name der Redaktion bekannt) eine beunruhigende Entdeckung. Er erhält unvermittelt Zugriff auf ein fremdes Kundenkonto. 

Bei der betroffenen Firma handelt es sich um einen langjährigen Kunden von green.ch – ein international tätiges Unternehmen. Verfolgt man die Rechnungshistorie ein paar Jahre zurück, kumulieren sich die Kosten auf weit über eine Million Franken.

«Ich war völlig perplex, als mir bewusst geworden ist, dass ich in einem fremden Konto gelandet bin und es sich erst noch um einen so dicken Fisch handelt», erklärt Ueli M. gegenüber watson.

Wie Recherchen zeigen, hatte er Zugriff auf den gesamten «Kunden-Bereich», inklusive Rechnungshistorie. Ueli M. hätte demnach die Rechnungs-Versandart und das Passwort ändern können – was er aber in weiser Voraussicht unterlassen hat.

Screenshot aus dem Kundenbereich

Bild

Sowohl alle bezahlten, wie auch...
screenshot watson

Bild

... alle offenen Rechnungen waren einsehbar. Rechnungsanschrift, Versandart und Passwort hätten  theoretisch verändert werden können. screenshot watson

«Mir wurde es etwas mulmig. Einerseits, weil ich mich in einem fremden Konto bewegt hatte, andererseits, weil ich mir selber nicht mehr sicher war, ob meine Daten bei green.ch noch sicher sind», schildert Ueli M. sein Erlebnis. Bevor er sich ausgeloggt habe, machte er ein paar Screenshots. 

Firma verteidigt sich

watson hat bei green.ch den Fall des watson-Lesers geschildert und wollte von der verantwortlichen Kommunikationsleiterin Susanne Felice wissen, ob der Hosting-Provider von einer gravierenden Sicherheitslücke betroffen sei. 

Wie erklären Sie sich, dass Ueli M. vollen Zugriff auf ein fremdes Kundenkonto von green.ch erhalten hat?
Susanne Felice:
Es handelt sich im geschilderten Fall nicht um ein Kundenkonto, sondern um ein Rechnungsportal. Es dient ausschliesslich für die Ablage von Rechnungen. Dies ist ein entscheidender Unterschied.

Über green.ch

Das Unternehmen mit Hauptsitz in Brugg betreut eigenen Angaben zufolge 100‘000 Kunden in über 80 Ländern. Es beschreibt sich selber als einen der «führenden ICT-Dienstleister der Schweiz. Innerhalb der green.ch Gruppe betreibt die Green Datacenter AG das Rechenzentrumsgeschäft, während die green.ch AG Privat- und Unternehmenskunden mit hochwertigen Internetanbindungen, Hosted Services, Multimediadiensten und Datensicherungslösungen bedient. Die Unternehmensgruppe betreibt eine eigene hochverfügbare Infrastruktur sowie vier moderne Rechenzentren.» 

www.green.ch

Und wie ist es möglich, dass diese Daten Ihres Kunden von Fremden eingesehen werden konnten?
Wir haben umgehend den Vorgang untersucht und sind auf einen einmaligen Fehler gestossen, der nicht systematischer Natur ist. Dabei hat die Verkettung von drei Ursachen die entscheidende Rolle gespielt. Einerseits ein fehlgeschlagener Anmeldeprozess in einer seltenen Form, andererseits eine falsche Rückmeldung der Datenbank zu einem bestimmten Zeitpunkt sowie ein falsch benanntes Dokument des betroffenen Kunden. Nur in der Verkettung dieser drei Ereignisse war es möglich, dass eine falsche Kundenzuweisung geschah und einmalig das Rechnungsportal eines anderen green.ch-Kunden aufgerufen wurde. Der Vorfall betraf also einen einzelnen Kunden und war zu keiner Zeit auf andere Kunden übertragbar. Entsprechende Analysen belegen dies zweifelsfrei.

Die Sicherheit der Daten war also zu jedem Zeitpunkt gewährleistet?
Es bestand zu keiner Zeit ein Sicherheitsrisiko für den betroffenen Kunden, einzig die von uns fakturierten Rechnungen und damit zusammenhängende Leistungen waren einsehbar.

«Dass die Verkettung der Ereignisse zu einem Zugriff auf die Rechnungen eines Kunden geführt hat, bedauern wir ausserordentlich.»

Passwort und Rechnungsanschrift hätten sich problemlos ändern lassen...
Das stimmt, aber Berechtigungen, Personendaten oder andere sicherheitsrelevante Informationen werden von green.ch nicht in diesem Rechnungsportal angezeigt, sondern werden in isolierten Systemen verwaltet. Es sind auch keine Leistungen veränderbar oder löschbar. Und beim Passwort handelte es sich nur um jenes der Rechnungsablage.

Sie sind sich sicher, dass keine anderen Kunden davon betroffen waren?
Wir können mit Sicherheit ausschliessen, dass weitere Kunden davon betroffen waren. Die Sicherheit der bei uns gespeicherten Daten hat für uns höchste Priorität. Daher setzen wir auch auf allen Ebenen Systeme und Prozesse ein, um den Schutz zu gewährleisten. Dass die Verkettung der Ereignisse zu einem Zugriff auf die Rechnungen eines Kunden geführt hat, bedauern wir ausserordentlich. 

Welche Massnahmen planen Sie, um Ihre Kunden künftig besser zu schützen?
Wir investieren laufend in die Sicherheit unserer Systeme, sei es um Attacken abzuwehren, missbräuchliche Zugriffe zu verhindern oder ganz einfach die Verfügbarkeit unserer Leistungen zu gewährleisten. Aus dem vorliegenden Fall haben wir unmittelbar Konsequenzen gezogen: Wir haben das Rechnungsportal des betroffenen Kunden sofort vorsorglich gesperrt. Das Ereignis wurde untersucht, dokumentiert und binnen 90 Minuten wurden weitere Sicherheitsparameter hinzugefügt, obwohl ein erneuter Zugriff zu diesem Zeitpunkt gar nicht mehr möglich war.

Das könnte dich auch interessieren:

Nach 27 Jahren kommt der Nachfolger der SMS – das musst du über RCS wissen

Link zum Artikel

Merkel beginnt bei Staatsbesuch plötzlich zu zittern – Entwarnung folgt kurz darauf

Link zum Artikel

Wetter: Nächste Woche wird's heiss

Link zum Artikel

Ohrfeige für Bundesanwalt vom Bundesstrafgericht – Lauber ist im FIFA-Fall befangen

Link zum Artikel

40 Millionen Liter Trinkwasser verschwunden? Das Rätsel von Tägerig ist gelöst

Link zum Artikel

OMG – wir haben Knoblauch unser ganzes Leben lang falsch geschält

Link zum Artikel

Warum Donald Trump 2020 wiedergewählt wird – und warum nicht

Link zum Artikel

Ein 3-jähriges Mädchen zerstört eine Fliege – das macht dann 56'000 Franken

Link zum Artikel

«Kann man sich in einen guten Freund verlieben?»

Link zum Artikel

Brasilianische Spielerin schafft neuen Rekord

Link zum Artikel

Federer vor Halle-Auftakt: «Rasen hat seine eigenen Regeln – vor allem für mich»

Link zum Artikel

We will always love you – vor 60 Jahren veröffentlichte Dolly ihre erste Single

Link zum Artikel

Fazit nach Frauenstreik: Hunderttausende Menschen protestierten für Gleichstellung

Link zum Artikel

«Er hat nicht unrecht» – das sagt Christoph Blocher zu SVP-Glarners Handy-Terror

Link zum Artikel

Du willst dein Handy sicherer machen? Dann solltest du diese 10 Regeln kennen

Link zum Artikel

FCB-Sportchef Streller tritt mit emotionalem SMS zurück: «Es bricht mir s’Herz»

Link zum Artikel

Trump hat sich im Persischen Golf verzockt

Link zum Artikel

5 Action-Heldinnen, die die Filmwelt ordentlich gerockt haben

Link zum Artikel

Preisgeld-Vergleich: So viel mehr kassieren Männer im Sport als Frauen

Link zum Artikel

14 Gründe, warum die Frauen heute streiken

Link zum Artikel

«Das stimmt einfach nicht» – Martullo-Blocher wird in der «Arena» vorgeführt

Link zum Artikel

Nach Handy-Terror: Betroffene Mutter rechnet mit SVP-Glarner ab – und wie

Link zum Artikel

Trump setzte Kopfgeld auf unschuldige Schwarze aus – jetzt melden sie sich zu Wort

Link zum Artikel

9 spannende Geisterstädte und ihre Geschichten

Link zum Artikel
Alle Artikel anzeigen

So überwacht uns der Staat

Wo war Herr Glättli die letzten sechs Monate? Minute für Minute, Ort für Ort? Swisscom oder Sunrise wissen es, Sie wissen es jetzt – und der Staat kann es jederzeit wissen

Link zum Artikel

Was der Staat von Ihrem Smartphone will. Und wann. Und weshalb.

Link zum Artikel

«Es ist nur eine Frage der Zeit, bis der Bund auch Telefongespräche und SMS speichern will»

Link zum Artikel

«Dass die Speicherung von Handydaten nichts bringt, ist kompletter Unsinn»

Link zum Artikel

Das Beziehungsnetz: Wer ist beruflich wichtig, wer ist verwandt? Mit wem hat Herr Glättli wirklich viel zu tun?

Link zum Artikel

Wie der Staat Daten «wegen Terror» abgreift – und uns eigentlich bloss komplett verarscht

Link zum Artikel

Die Kapo Bern hat bald ein teures neues Abhörsystem. Aber der eigentliche Skandal dahinter ist die Beschaffung

Link zum Artikel

Die vergessenen Jahre des Terrors: In den 70ern und 80ern zogen Terroristen eine Blutspur durch Europa

Link zum Artikel

Wenn Sie immer noch glauben, Datenschutz sei nur für Menschen, die etwas zu verbergen haben, bitte hier weiterlesen

Link zum Artikel

Die unsäglich peinliche Geschichte der gehackten Hacker (und Kapo-ZH-Lieferanten) in 25 Tweets erzählt

Link zum Artikel

Diese Politiker sorgten sich eben noch um unsere Privatsphäre – und sagen jetzt trotzdem Ja zu mehr Überwachung

Link zum Artikel

Fremde Geheimdienste sollen die Leitungen von Swisscom und Co. angezapft haben. Das musst du wissen

Link zum Artikel

Polizei und Staat wollen Sie im Internet umfassend überwachen. Jeder zweite Schweizer sagt «Nein, danke!»

Link zum Artikel
Alle Artikel anzeigen

Blick ins Allerheiligste: watson besucht das gigantische Microsoft-Hauptquartier in Seattle

sentifi.com

Watson_ch Sentifi

Abonniere unseren Newsletter

11
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
11Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • j0nas 10.06.2016 08:41
    Highlight Highlight Diese Erklärung ist ja Haarsträubend! Ein Falsch benanntes Dokument, eine Falsche Rückmeldung der DB. Also bitte. Offensichtlich hat die Applikation gleich mehrere Probleme. Und was soll bitteschön ein "fehlgeschlagener Anmeldeprozess in einer seltenen Form" sein? Ein unerlaubtes Zeichen eingegeben? Diese Erklärung liefert mehr Fragezeichen als Antworten.
    • smoe 11.06.2016 00:48
      Highlight Highlight Ich frage mich gerade, welcher Stoff der oder die Entwickler rauchen, die es hingekriegt haben, dass Dokumentnamen auch nur im entferntesten mit Authentifizierung zusammenhängen:)
  • rothi 10.06.2016 08:37
    Highlight Highlight Soso. Ein falsch benanntes Dokument. Wohl Rechnung.doc';'0+0 oder ähnlich.
  • Der Kritiker 10.06.2016 08:07
    Highlight Highlight Und was zahlt green hier als genugtuung? Ist dies ein einzelfall?
    • Simon 10.06.2016 17:28
      Highlight Highlight Ist ja niemand zu schaden gekommen, wozu Genugtuung?
  • Donald 10.06.2016 07:44
    Highlight Highlight Green.ch würde lieber einen ihrer IT-Experten Klartext reden lassen, anstelle der Kommunikationsabteilung... wenn solche "Zufälle" möglich sind, besteht ein Sicherheitsrisiko. Dieser eine Fall hat es bewiesen. Dass dies einfach so hingenommen wird, sollte die Kunden nachdenklich stimmen. Transparenz von Green.ch wäre angebracht.
    • Donald 10.06.2016 08:50
      Highlight Highlight Diese Abteilung kann von mir aus den Fachmann beraten. Schlussendlich geht es hier um Vertrauen und nicht um Kommunikation.
    • Datsyuk * 10.06.2016 09:31
      Highlight Highlight Fachleute haben aber Ahnung.
    • smoe 11.06.2016 00:38
      Highlight Highlight Idealweise sollte in solchen Fällen der Mediemitteilung der Kommunikationsabteilung ein Blog Post der Techabteilung folgen. So müssen keine Kompromisse eingegangen werden, wie viel fachlichen Details welcher Zielgruppe zugemutet werden können.
  • dumpster 10.06.2016 07:29
    Highlight Highlight Ja so ist das mit Software: auf dem Klo die Spühlung drücken und im Wohnzimmer geht das Licht an. 😉
    • j0nas 10.06.2016 08:35
      Highlight Highlight So ist das mit schlecht gemachter Software ;)

Bei Airbnb oder im Hotel – so findest du versteckte Kameras mit dem Smartphone

Heimliche Videoaufnahmen sind nicht erst seit dem Ibiza-Video ein Thema. Auch andere Airbnb-Vermieter verstecken Kameras, um Mieter zu überwachen. Doch dies lässt sich mit ein paar Tricks aufdecken.

Zwar verstossen heimliche Kameras gegen die Nutzungsbedingungen von Airbnb, trotzdem werden sie ab und zu genutzt. Eigentlich muss dem Mieter jede Kamera offen gelegt werden, auch wenn sie sich im Freien befindet oder nicht funktioniert, und sie darf nicht in privaten Räumen wie Schlafzimmern oder Badezimmern installiert werden.

Im Fall des Ex-FPÖ-Vorsitzenden Hans-Christian Strache ging es um eine verwanzte, private Villa auf Ibiza, die per Airbnb zur Miete angeboten wurde. Sie war mit sechs …

Artikel lesen
Link zum Artikel