"Umfassende Untersuchung eingeleitet": Windeln.de meldet Daten-Panne

Bei der Windeln.de-Gruppe   hat es eine Daten-Panne gegeben. Demnach wurden Daten einiger Kunden vorübergehend auf einem ungeschützten Server gelagert, wie der Spezialist für Baby- und Kinderbedarf mitteilt. Schuld sei ein Fehler bei Wartungsarbeiten gewesen, der aber bereits wieder behoben wurde. "Wir bedauern diesen Vorgang sehr und bitten alle betroffenen Kunden um Entschuldigung", erklärt Matthias Peuckert (siehe Foto links), Chief Executive Officer (CEO) der Windeln.de-Gruppe. "Jetzt geht es darum, Details zu klären, aus den Geschehnissen zu lernen und Schaden von Kunden abzuwenden." Und das ist konkret passiert: Zwischen 10. Juni und 23. Juni 2020 wurde ein Teil der Kundendaten auf einem unsicheren Server gespeichert. Über diesen ungeschützten Server wurde die Gruppe schon am 22. Juni vom Bundesamt für Sicherheit in der Informationstechnik   (BSI) informiert. Der Konzern hat daraufhin nach eigenen Angaben sofort reagiert, so dass am 23. Juni der Server wieder geschützt war. Öffentlich gemacht hat Windeln.de den Vorfall aber erst jetzt. Zwar sind nach Artikel 33 der Datenschutz-Grundverordnung   (DSGVO) ja Verletzungen beim Schutz personenbezogener Daten unverzüglich und möglichst innerhalb von 72 Stunden zu melden, wenn ein Schaden bekannt wird. Auf Nachfrage von neuhandeln.de erklärt der Konzern, dass man im Juni noch davon ausgegangen war, dass auf dem ungeschützten Server keine persönlichen Daten lagen. Inzwischen habe sich aber leider herausgestellt, dass es offenbar möglich war, über diesen ungeschützten Server auf einen anderen Server zuzugreifen, der wiederum persönliche Daten enthielt. Herausgefunden habe die Gruppe das aber erst durch einen Bericht, den externe Experten für IT-Sicherheit im Internet am 15. September 2020 veröffentlicht   haben. Der Konzern habe dann sofort reagiert und über den Vorfall informiert.

Auch Otto und Conrad Electronic meldeten bereits Daten-Pannen

Betroffen von der Daten-Panne sind laut dem Konzern ausschließlich Daten von denjenigen Kunden, die sich zwischen 24. Mai und 23. Juni in den Online-Shops der Gruppe angemeldet hatten. Unklar ist aber, ob Dritte denn Zugang zu diesen Daten hatten. Dazu zählen nach heutigem Kenntnisstand zwar keine Angaben zu Zahlungsmitteln, dafür aber personenbezogene Daten wie Namen, (E-Mail-)Adressen und Telefon-Nummern. Der Handelskonzern habe deswegen eine "umfassende Untersuchung eingeleitet". Beim Otto-Versand   gab es erst in diesem Hochsommer eine Daten-Panne, als die Hanseaten ihre Shop-Software aktualisiert   hatten. Danach wurden einigen Kunden online in ihrem Kundenkonto fälschlich alte Bestelldaten angezeigt, die anderen Otto-Kunden gehörten und daher nur in deren Konten stehen sollten. Otto hatte deshalb das Shop-Update wieder rückgängig gemacht und so den Fehler behoben. Beim Elektronik-Spezialisten Conrad   hatten wiederum vor einem knappen Jahr schon Unbekannte auf Teile des IT-Systems zugreifen   können. Möglich sei das durch die "Ausnutzung einer Sicherheitslücke" gewesen. Diese habe Conrad damals aber schnell identifizieren und dadurch wieder schließen können.