Eine aktuelle Geschichte zur Sicherheit von Kundendaten

Kunden fragen mich immer wieder, ob man es mit der Sicherheit nicht auch übertreiben kann.

Meine Anmerkung dazu ist die, dass sich eine pauschale Antwort auf diese Frage verbietet. Und ich bitte dann darum, dass ich im konkreten Fall gerne mal die Risiko- und Schadensbewertung zu den potentiellen IT-Sicherheitsthemen/Sicherheitslücken des betroffenen Unternehmens sehen möchte.

Natürlich kann man bestimmte Risiken als Unternehmen auch akzeptieren - also in Kauf nehmen - man muss sich aber über die Konsequenzen im Klaren sein. Im Zuge der Risikobewertung wird der potentielle Schaden analysiert und das Risiko entsprechend in bestimmte Risikoklassen eingestuft.

Was macht denn z.B. einen "großen" Schaden für Unternehmen aus - im besonderen für ein IT-Unternehmen?

Nun, gute Geschäftsbeziehungen beruhen ganz wesentlich auf Vertrauen und natürlich auch der Vertraulichkeit von Daten und Informationen im Umfeld des Geschäftsverhältnisses. Dazu zählen u.a. Daten zu Personen, den Firmen, den Verträgen, Lizenzen, etc..

Vertraulichkeit von Kunden- und Geschäftsdaten ist in der Geschäftswelt etwas ganz Essentielles, um das sich ein Unternehmen immer kümmern muss - und zwar nicht nur in Bezug auf die IT.

Zu "großen" Schäden zählen daher sicher solche, die durch die Verletzung der Vertraulichkeit von Daten - im Speziellen von Kundendaten - heraufbeschworen werden. In diese Kategorie fallen z.B. die bekannt gewordenen Skandale bei LinkedIn und z.B. bei Sony. Gerade für namhafte IT-Unternehmen ist es rufschädigend, wenn Kundendaten, Vertragsdaten oder sogar Informationen zu Kreditkarten durch Unberechtigte ausgeforscht werden können.

Auch in Bezug auf Lizenzdaten ist der Schaden je nach eingegangenen Lizenzbedingungen ggf. groß. Es droht schließlich der Missbrauch der eigenen Lizenz durch Dritte. Die Tatsache, dass man ja für die Lizenz bezahlt hat und jemand anderes sie (kostenfrei) nutzt, spielt dabei gegenüber anderen potentiellen Schäden sogar eher eine untergeordnete Rolle.

Bei den Zwischenfällen bei Sony und LinkedIN handelt es sich um bekannt gewordene Sicherheitsvorfälle - ich denke aber, dass dies nur die Spitze des Eisberges darstellt.

Bei vielen IT-Unternehmen - aber auch im öffentlichen Dienst - lagern ja auch "Tonnen" an Kundendaten. Die werden verwaltet, upgedated, migriert, zentralisiert, mit anderen Datenbeständen zusammengezogen, kopiert, verlinkt, auf Backup-Medien gespielt und manchmal auch restauriert. Manchmal ändert sich auch Schnittstellen und die den Datenbanken vorgelagerte Software-Maschinerie, die die Kundendaten in Kundenportalen sichtbar macht. Geschieht dies immer unter sicherheitsrelevanten Vorkehrungen? Wird jedesmal gründlich überprüft, ob danach die Daten auch nur von Berechtigten eingesehen werden können?

Ich glaube nicht .... dagegen spricht schon die reinen Größe heutiger "Global Player". Größe, Heterogenität, Internationalität, verteilte Datenbanken, etc. erhöhen ohne spezielle Vorkehrungen die Wahrscheinlichkeit, dass unerkannte Sicherheitslücken auftreten.

Gerade Kundenportale sind heute schick - kaum eine Firma, die nicht die Verwaltung von Vertrags- und Lizenzdaten über das Internet anbieten würde. Was aber, wenn dabei ein Kunde aber mal die Daten anderer Kunden einsehen kann?

Sie werden sagen, das geht natürlich nicht, und die Firmen werden ihre Software und ihre Datenbanken schon so einrichten, dass das ausgeschlossen ist. Denkt man so ....

Hoffte ich bis heute auch. Aber leider wurde ich eines Besseren belehrt.

Ich war und bin heute mit einem sehr lehrreichen Zwischenfall konfrontiert, bei dem ich meinen eigenen Augen zunächst nicht trauen konnte. Dieser Zwischenfall betrifft ein namhaftes weltweit operierendes IT-Unternehmen und als potentiell Geschädigte neben mir selbst zwei deutsche - ebenfalls namhafte - Bankhäuser. Ich selbst wie besagte Bankhäuser haben Kontrakte mit dem IT-Unternehmen und nutzen unterschiedliche Lizenzen für diverse Produkte dieses IT-Unternehmens. (Mit keinem der Bankhäuser habe ich selbst ein Kunden-, Arbeits- oder Beratungsverhältnis.)

Der betroffene IT-Lieferant bietet einen Vielzahl spezieller Produkte an, u.a. solcher, die für den Aufbau von Cloud-Systemen von zentraler Bedeutung sind. Die Account- und Vertragsdaten des IT-Unternehmens können von dessen Kunden über das Web (genauer über US-amerikanische Web-Server) verwaltet werden.

Ich habe mich heute zufällig dafür interessiert, welche Upgrade-Preise dieses IT-Unternehmen für ein aktuell erschienenes Produkt verlangt. In diesem Zusammenhang habe ich meinen Account bei dem IT-Unternehmen über dessen Kundenportal im Internet geöffnet. Das personalisierbare Portal erlaubt mir (über eine verschlüsselte) Verbindung die Verwaltung meiner Lizenzen und zugehöriger Rechte von Mitarbeitern - sowie auch das direkte Bestellen von weiteren Lizenzen oder Lizenzupgrades zu bestehenden Verträgen und den von mir verwalteten Accounts.

Und was sehe ich in meiner Account-Übersicht?

Ich habe auf einmal auf wunderbare Weise Zugang zu Accounts und damit Lizenz/Support-Verträgen der oben erwähnten Bankhäuser. Und was finde ich unter den Verträgen:

Lizenzkeys (insgesamt 39), Supportverträge, Mitarbeiterdaten, E-Mail-Adressen, Lizenz-Verantwortliche, die Historie der letzten Admin-Aktionen ..... etc.

Ein Teil der Mitarbeiter der Unternehmen ist wohl sogar im IT-Umfeld tätig. Besonders nett finde ich, dass der Account/Vertrag eines Bankhauses als mein Standardaccount eingetragen ist.

Tja, was sagt man denn dazu?

Punkt 1) Das geht gar nicht. Weder die Tatsache, dass ich die Lizenzkeys anderer Unternehmen einsehen kann, noch die Tatsache, dass ich Informationen über Nutzerdaten erhalte. Noch die Möglichkeit, im Rahmen meines Accounts für Kontrakte anderer Unternehmen Bestellungen auszulösen.

Punkt 2) Das sind typische Fehler, wie sie bei der Migration oder Zusammenziehung von Kundendaten auftreten können ("Keymix"). Das bekannte IT-Untenehmen ist vor einiger Zeit von einem anderen IT-Unternehmen aufgekauft worden ..... Sicher sind im Zuge des Mergers Kundendaten zentralisiert und abgeglichen worden. Wer weiß, was dabei schiefgegangen ist.

Punkt 3) Wie hoch ist der Schaden? Ich überlasse es der Phantasie des Leser sich auszumalen, wozu man die von mir zufällig eingesehenen Daten und Lizenzkeys verwenden könnte. Selbst wenn man den verursachbaren Schaden für die Bankhäuser als erträglich einstuft - die Tatsache allein, dass ich (zufällig?) Vertragsdaten anderer Unternehmen einsehen konnte und kann, kann bei Bekanntwerden zu einem Imageverlustes des IT-Unternehmns führen.

Ich habe die betroffenen Firmen (das IT-Unternehmen und die Bankhäuser) natürlich umgehend unterrichtet. Die Sicherheitsbeauftragten der Bankhäuser haben sich dann auch zügig an mich gewandt und die notwendigen Informationen auf sicherem Wege eingeholt. (Meine Daten mit den Screenshots und einem Abzug er HTML-Dateien gehen unabhängig von der Weiterleitung an die Betroffenen) auf einer verschlüsselten CDs an einen sicheren Ort (Beleg/Beweissicherung).

Der von mir erreichbare Verantwortliche des IT-Unternehmens konnte mich übrigens nicht an einen deutschen oder für Deutschland zuständigen Sicherheitsbeauftragten weitervermitteln. Auch nicht an einen deutschsprachigen Lizenzverantwortlichen. Der Mitarbeiter wollte mich dann direkt mit einer Telefonnummer in den USA verbinden. Meine Frage, wie ich denn kontrollieren könne, dass ich dann wirklich bei einem Vertreter des IT-Unternehmens lande, konnte er mir nicht beantworten.

Per E-Mail wurde ich dann später zu einer (unverschlüsselten) Übersendung von Screenshots zu den einsehbaren Vertragsdaten an eine internationale Email-Adresse aufgefordert. Ja, geht's denn noch! Mein Bitte bei einem weiteren Anruf meinerseits um Vereinbarung eines verifizierbaren Verschlüsselungsverfahrens für die Übermittlung der Daten blieb unbeantwortet. Ist OK, der etwas hilflose Mann war von der Sales-Abteilung.

Ich habe ihn dann gebeten, die Sache ernst zu nehmen und umgehend über seine Vorgesetzten zu eskalieren. Nachdem nun mehrere Stunden vergangen sind, ist die Wahrscheinlichkeit hoch, dass die Beschwerden der anderen betroffenen Kunden bei dem IT-Unternehmen aufschlagen, bevor die interne Eskalationskette greift. Im Moment kann ich die Daten der anderen Kunden jedenfalls immer noch einsehen.

Kann man es mit der Sicherheit übertreiben? Erneute Gegenfrage: Wie groß ist der potentielle Schaden? Würden Sie diesem IT-Unternehmen nach einer solchen Erfahrung weiter ihre Daten anvertrauen? Womöglich auch noch geschäftskritische Daten in einer von diesem Unternehmen gehosteten Cloud-Umgebung?