Offenbar große Sicherheitslücken beim Finanzdienstleister AWD
Archivmeldung vom 12.11.2009
Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung am 12.11.2009 wiedergibt. Eventuelle in der Zwischenzeit veränderte Sachverhalte bleiben daher unberücksichtigt.
Freigeschaltet durch Thorsten SchmittExterne IT-Berater haben nach Recherchen des Radioprogramms NDR Info bei der Software-Entwicklung für den Finanzdienstleister AWD mit echten Kundendaten gearbeitet. Wie ein AWD-Insider berichtet, wäre es dadurch problemlos möglich gewesen, Daten zu manipulieren oder massenhaft herunterzuladen.
NDR Info hat Auszüge aus der Original-Datenbank überprüft. Darauf erfasste Personen und Firmen bestätigten, Verträge mit dem AWD abgeschlossen zu haben, u. a. für Lebensversicherungen und Pensionskassen. Der Datenschutzbeauftragte von Schleswig-Holstein, Thilo Weichert, bezeichnete die Software-Entwicklung mit Hilfe von echten Kundendaten als absolut unzulässig, er sprach von einem "Datenschutz-Gau". Der Finanzdienstleister wollte sich dazu nicht äußern. Vor gut drei Wochen hatte NDR Info über eine Datenpanne bei AWD berichtet, NDR Reporter hatten Kenntnis von 27.000 Kundendatensätzen.
AWD-Insider betonten, es gebe bei dem Unternehmen einen geringen Sicherheitsstandard für personenbezogene Kundendaten, der weit unter dem einer Bank oder Sparkasse liege. Ein Zugang zum firmeneigenen Netzwerk beispielweise mit mitgebrachten Notebooks sei möglich gewesen und als selbstverständlich betrachtet worden, so ein Insider weiter. Zudem seien Rechner in der Konzernzentrale in Hannover mit freigeschalteten USB-Schnittstellen und CD-Laufwerken ausgestattet, die nicht kontrolliert würden. So hätten Tausende Datensätze leicht heruntergeladen werden können.
Datenschützer Weichert erklärte, Software-Entwickler dürften auf keinen Fall mit echten Kundendaten arbeiten. Stattdessen wären für derartige Programmierungen Testdaten vollkommen ausreichend. "Alles andere ist fahrlässig, schludrig und ignorant im Hinblick auf das Datenschutzrecht", sagte Thilo Weichert. Ein Unternehmen, das vom Vertrauen der Kunden lebe, sei verpflichtet, die höchstmöglichen Sicherheitsvorkehrungen zu treffen. Dazu gehöre vor allem, die Zugriffe auf Kundendaten nur auf das unbedingt notwendige zu begrenzen.
Im Oktober war bereits eine erste Datenpanne bei AWD bekannt geworden. NDR Info hatte über 27.000 sensiblen Kundendaten berichtet, von denen der Sender Kenntnis hat. Daraufhin klagte der Finanzdienstleister gegen den NDR auf Herausgabe der Daten. Der Sender lehnt dieses mit Verweis auf den Informantenschutz ab. Vor dem Hintergrund dieses Verfahrens wollte AWD zunächst keine Stellungnahme zu den neuen Vorwürfen abgeben.
Quelle: NDR Info