Die Datensätze, die aus E-Mail-Adresse und Passwort bestehen, wurden nach ZDF-Recherchen benutzt, um sich bei einem Internet-Zahlungsdienstleister anzumelden. Dabei spekulierten die Datendiebe anscheinend darauf, dass zahlreiche Internet-Nutzer bei verschiedenen Diensten die gleiche Kombination aus E-Mail-Adresse und Passwort verwenden. In solchen Fällen hätten sie Zugriff auf das Zahlungskonto des Betroffenen erhalten.

Quelle der Daten ist eine von einem externen Serviceprovider betriebene Internet-Seite mit einer Datenbank, die dazu dient interessierten Nutzern die Erstellung ihrer Bewerbung bei PwC zu vereinfachen. Das ergab zum einen eine Analyse der E-Mail-Adressen und Passwörter. Zum anderen erklärt sich dies aber auch aus zahlreichen Rückmeldungen, die die WISO-Redaktion erhalten hat, nachdem sie die Betroffenen per E-Mail über den Sachverhalt informiert hatte.

Ein direkter Zugriff auf die Bewerberdaten bei Price-Waterhouse-Coopers war mit den im Netz befindlichen Informationen nicht möglich, da man sich dort nur mit Hilfe eines Benutzernamens anmelden konnte. Der Benutzername befand sich nicht bei den gestohlenen Daten.

Die Betroffenen müssen, um einem Missbrauch ihrer Daten vorzubeugen, sicherstellen, dass sie bei allen Online-Diensten unterschiedliche Passwörter verwenden.

Staatsanwaltschaft eingeschaltet

Das Wirtschaftsprüfungs- und Beratungsunternehmen PricewaterhouseCoopers (PwC) hat gestern Strafanzeige gegen die bislang unbekannte Daten-Hacker gestellt. Diese

Laut PwC legen unmittelbar eingeleitete Stichproben-Untersuchungen die Vermutung nahe, dass die Hacker die gestohlenen Adressen vor allem für Spam-Mails missbrauchen. Darüber hinaus sind E-Mail-Adressen und Passwörter neben Daten aus den Beständen anderer Unternehmen auf einem chinesischen Server aufgetaucht. PwC veranlasste seinen externen Serviceprovider umgehend zur Stilllegung der betroffenen Internet-Seite. PwC hat bereits damit begonnen, alle möglicherweise betroffenen Nutzer direkt über den Vorfall zu informieren und Hinweise zur eigenen Datensicherheit zu geben. PwC hat vorsorglich die Aufsichtsbehörde für den Datenschutz sowie die Berufsaufsicht von dem Hacker-Angriff und den eingeleiteten Sicherheitsmaßnahmen in Kenntnis gesetzt. Das Unternehmen wird die Ermittlungsbehörden in vollem Umfang bei der Aufklärung der Straftat unterstützen.

Nicht betroffen von dieser Hacker-Attacke sind sämtliche Internetangebote, die von PwC selbst betrieben werden. Dazu zählt vor allem der eigene Internetauftritt. Ebenfalls nicht von der Attacke betroffen sind sämtliche Kunden- sowie alle übrigen Daten von Mitarbeitern und Bewerbern.

Personalvorstand Frank Brebeck: "Wir bedauern diesen auf ein isoliertes System begrenzten Vorfall außerordentlich und haben umfangreiche Informationsmaßnahmen ergriffen. Nach ersten Erkenntnissen handelt es sich um einen kriminellen Angriff, der nur äußerst schwer zu erkennen ist und kaum Spuren hinterlässt. Bewerber, die sich aktuell mit uns in Verbindung setzten möchten, können dies beruhigt auch weiterhin online tun. Die aktuell erreichbaren Bewerber-Seiten basieren auf einer anderen Systemplattform, deren Sicherheit wir aus aktuellem Anlass nochmals überprüft haben."

Ausführliche Informationen in WISO am Montag, 8. September 2008, 19.25 Uhr im ZDF. Es moderiert Michael Opoczynski.

Quelle: ZDF / PwC