Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.

Computer-Panne bei green.ch: Per Mausklick in fremdem Kundenkonto gelandet

Wegen eines mysteriösen Fehlers bei einem der grössten Internet-Provider des Landes erhielt ein watson-Leser Zugriff auf fremde Kundendaten. Green.ch spricht von einer Verkettung unglücklicher Umstände.



Beim Versuch, eine Domain zum Schweizer Hosting-Provider green.ch zu transferieren, macht watson-Leser Ueli M. (Name der Redaktion bekannt) eine beunruhigende Entdeckung. Er erhält unvermittelt Zugriff auf ein fremdes Kundenkonto. 

Bei der betroffenen Firma handelt es sich um einen langjährigen Kunden von green.ch – ein international tätiges Unternehmen. Verfolgt man die Rechnungshistorie ein paar Jahre zurück, kumulieren sich die Kosten auf weit über eine Million Franken.

«Ich war völlig perplex, als mir bewusst geworden ist, dass ich in einem fremden Konto gelandet bin und es sich erst noch um einen so dicken Fisch handelt», erklärt Ueli M. gegenüber watson.

Wie Recherchen zeigen, hatte er Zugriff auf den gesamten «Kunden-Bereich», inklusive Rechnungshistorie. Ueli M. hätte demnach die Rechnungs-Versandart und das Passwort ändern können – was er aber in weiser Voraussicht unterlassen hat.

Screenshot aus dem Kundenbereich

Bild

Sowohl alle bezahlten, wie auch...
screenshot watson

Bild

... alle offenen Rechnungen waren einsehbar. Rechnungsanschrift, Versandart und Passwort hätten  theoretisch verändert werden können. screenshot watson

«Mir wurde es etwas mulmig. Einerseits, weil ich mich in einem fremden Konto bewegt hatte, andererseits, weil ich mir selber nicht mehr sicher war, ob meine Daten bei green.ch noch sicher sind», schildert Ueli M. sein Erlebnis. Bevor er sich ausgeloggt habe, machte er ein paar Screenshots. 

Firma verteidigt sich

watson hat bei green.ch den Fall des watson-Lesers geschildert und wollte von der verantwortlichen Kommunikationsleiterin Susanne Felice wissen, ob der Hosting-Provider von einer gravierenden Sicherheitslücke betroffen sei. 

Wie erklären Sie sich, dass Ueli M. vollen Zugriff auf ein fremdes Kundenkonto von green.ch erhalten hat?
Susanne Felice:
Es handelt sich im geschilderten Fall nicht um ein Kundenkonto, sondern um ein Rechnungsportal. Es dient ausschliesslich für die Ablage von Rechnungen. Dies ist ein entscheidender Unterschied.

Über green.ch

Das Unternehmen mit Hauptsitz in Brugg betreut eigenen Angaben zufolge 100‘000 Kunden in über 80 Ländern. Es beschreibt sich selber als einen der «führenden ICT-Dienstleister der Schweiz. Innerhalb der green.ch Gruppe betreibt die Green Datacenter AG das Rechenzentrumsgeschäft, während die green.ch AG Privat- und Unternehmenskunden mit hochwertigen Internetanbindungen, Hosted Services, Multimediadiensten und Datensicherungslösungen bedient. Die Unternehmensgruppe betreibt eine eigene hochverfügbare Infrastruktur sowie vier moderne Rechenzentren.» 

www.green.ch

Und wie ist es möglich, dass diese Daten Ihres Kunden von Fremden eingesehen werden konnten?
Wir haben umgehend den Vorgang untersucht und sind auf einen einmaligen Fehler gestossen, der nicht systematischer Natur ist. Dabei hat die Verkettung von drei Ursachen die entscheidende Rolle gespielt. Einerseits ein fehlgeschlagener Anmeldeprozess in einer seltenen Form, andererseits eine falsche Rückmeldung der Datenbank zu einem bestimmten Zeitpunkt sowie ein falsch benanntes Dokument des betroffenen Kunden. Nur in der Verkettung dieser drei Ereignisse war es möglich, dass eine falsche Kundenzuweisung geschah und einmalig das Rechnungsportal eines anderen green.ch-Kunden aufgerufen wurde. Der Vorfall betraf also einen einzelnen Kunden und war zu keiner Zeit auf andere Kunden übertragbar. Entsprechende Analysen belegen dies zweifelsfrei.

Die Sicherheit der Daten war also zu jedem Zeitpunkt gewährleistet?
Es bestand zu keiner Zeit ein Sicherheitsrisiko für den betroffenen Kunden, einzig die von uns fakturierten Rechnungen und damit zusammenhängende Leistungen waren einsehbar.

«Dass die Verkettung der Ereignisse zu einem Zugriff auf die Rechnungen eines Kunden geführt hat, bedauern wir ausserordentlich.»

Passwort und Rechnungsanschrift hätten sich problemlos ändern lassen...
Das stimmt, aber Berechtigungen, Personendaten oder andere sicherheitsrelevante Informationen werden von green.ch nicht in diesem Rechnungsportal angezeigt, sondern werden in isolierten Systemen verwaltet. Es sind auch keine Leistungen veränderbar oder löschbar. Und beim Passwort handelte es sich nur um jenes der Rechnungsablage.

Sie sind sich sicher, dass keine anderen Kunden davon betroffen waren?
Wir können mit Sicherheit ausschliessen, dass weitere Kunden davon betroffen waren. Die Sicherheit der bei uns gespeicherten Daten hat für uns höchste Priorität. Daher setzen wir auch auf allen Ebenen Systeme und Prozesse ein, um den Schutz zu gewährleisten. Dass die Verkettung der Ereignisse zu einem Zugriff auf die Rechnungen eines Kunden geführt hat, bedauern wir ausserordentlich. 

Welche Massnahmen planen Sie, um Ihre Kunden künftig besser zu schützen?
Wir investieren laufend in die Sicherheit unserer Systeme, sei es um Attacken abzuwehren, missbräuchliche Zugriffe zu verhindern oder ganz einfach die Verfügbarkeit unserer Leistungen zu gewährleisten. Aus dem vorliegenden Fall haben wir unmittelbar Konsequenzen gezogen: Wir haben das Rechnungsportal des betroffenen Kunden sofort vorsorglich gesperrt. Das Ereignis wurde untersucht, dokumentiert und binnen 90 Minuten wurden weitere Sicherheitsparameter hinzugefügt, obwohl ein erneuter Zugriff zu diesem Zeitpunkt gar nicht mehr möglich war.

Das könnte dich auch interessieren:

Wie ich nach 3 Stunden Möbelhaus von Wolke 7 plumpste

Link zum Artikel

Die Fallzahlen steigen wieder leicht an – so sieht's in deinem Kanton aus

Link zum Artikel

Der Mann, der es wagt, Trump zu widersprechen

Link zum Artikel

Magic Johnson vs. Larry Bird – ein College-Final als Beginn einer grossen Sportrivalität

Link zum Artikel

4 Gründe, weshalb die Corona-Zahlen des BAG wenig mit der Realität zu tun haben

Link zum Artikel

Wie ansteckend sind Kinder wirklich? Was die Wissenschaft bis jetzt dazu weiss

Link zum Artikel

Das iPad kriegt Radar? Darum ist der Lidar-Sensor eine kleine Revolution

Link zum Artikel

Lasst meinen Sex in Ruhe, ihr Ehe- und Kartoffel-Fanatiker!

Link zum Artikel

So lief Tag 1 nach Bekanntgabe der «ausserordentliche Lage» für die Schweiz

Link zum Artikel

Corona International: EU beschliesst Einreisestopp ++ Italien mit 345 neuen Todesopfern

Link zum Artikel

Die Schweiz befindet sich im Notstand – die 18 wichtigsten Antworten zur neuen Lage

Link zum Artikel

Nach dem vielen Schnee kommt der Föhnsturm

Link zum Artikel

Ein Virus beendet Jonas Hillers Karriere: «Es gäbe noch viel schlimmere Szenarien»

Link zum Artikel
Alle Artikel anzeigen

So überwacht uns der Staat

Wo war Herr Glättli die letzten sechs Monate? Minute für Minute, Ort für Ort? Swisscom oder Sunrise wissen es, Sie wissen es jetzt – und der Staat kann es jederzeit wissen

Link zum Artikel

Was der Staat von Ihrem Smartphone will. Und wann. Und weshalb.

Link zum Artikel

«Es ist nur eine Frage der Zeit, bis der Bund auch Telefongespräche und SMS speichern will»

Link zum Artikel

«Dass die Speicherung von Handydaten nichts bringt, ist kompletter Unsinn»

Link zum Artikel

Das Beziehungsnetz: Wer ist beruflich wichtig, wer ist verwandt? Mit wem hat Herr Glättli wirklich viel zu tun?

Link zum Artikel

Wie der Staat Daten «wegen Terror» abgreift – und uns eigentlich bloss komplett verarscht

Link zum Artikel

Die Kapo Bern hat bald ein teures neues Abhörsystem. Aber der eigentliche Skandal dahinter ist die Beschaffung

Link zum Artikel

Die vergessenen Jahre des Terrors: In den 70ern und 80ern zogen Terroristen eine Blutspur durch Europa

Link zum Artikel

Wenn Sie immer noch glauben, Datenschutz sei nur für Menschen, die etwas zu verbergen haben, bitte hier weiterlesen

Link zum Artikel

Die unsäglich peinliche Geschichte der gehackten Hacker (und Kapo-ZH-Lieferanten) in 25 Tweets erzählt

Link zum Artikel

Diese Politiker sorgten sich eben noch um unsere Privatsphäre – und sagen jetzt trotzdem Ja zu mehr Überwachung

Link zum Artikel

Fremde Geheimdienste sollen die Leitungen von Swisscom und Co. angezapft haben. Das musst du wissen

Link zum Artikel

Polizei und Staat wollen Sie im Internet umfassend überwachen. Jeder zweite Schweizer sagt «Nein, danke!»

Link zum Artikel
Alle Artikel anzeigen

Blick ins Allerheiligste: watson besucht das gigantische Microsoft-Hauptquartier in Seattle

DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Analyse

Threema ist das neue WhatsApp – und schlägt die Konkurrenz um Längen

Wer hätte gedacht, dass die weltbeste Messenger-App nicht aus dem Silicon Valley kommen würde, sondern vom Zürichsee. Eine persönliche Analyse.

Seit acht Jahren befasse ich mich mit dem sicheren Schweizer Messenger Threema. Den ersten Artikel dazu publizierte ich im Dezember 2012. Titel: «Die Schweizer Antwort auf WhatsApp». Die damalige erste App gab's nur fürs iPhone, und sie war zum Start gratis. Im Interview versprach der Entwickler, Manuel Kasper, die baldige Veröffentlichung einer von vielen Usern geforderten Android-Version. Und:

Er hielt Wort. Im Gegensatz zu WhatsApp.

Einige dürften sich erinnern, dass es ein gleiches …

Artikel lesen
Link zum Artikel