![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Beim Elektronik-H\u00e4ndler Conrad hat es ein Datenleck gegeben, bei dem ein Unbefugter Zugang auf Kundendaten, inklusive Zahlungsinformationen durch eine ungesicherte Elasticsearch Datenbank hatte.<\/p>\nBeim Elektronik-H\u00e4ndler Conrad hat es ein Datenleck gegeben, bei dem ein Unbefugter Zugang auf Kundendaten, inklusive Zahlungsinformationen durch eine ungesicherte Elasticsearch Datenbank hatte.<\/p>\n
<\/p>\n
Nach gr\u00fcndlicher Untersuchung, so Conrad in seiner Mitteilung, l\u00e4gen keine Hinweise darauf vor, dass der Zugang genutzt worden w\u00e4re, um Daten missbr\u00e4uchlich zu verwenden.<\/p>\n Konkret w\u00e4re nach Angaben des Unternehmen der Zugriff auf die knapp 14 Millionen Kunden-Datens\u00e4tze der Conrad Grupp, m\u00f6glich gewesen. Dies umfassen Postadressen, teilweise\u00a0 E-Mail-Adressen bzw. Fax- und Telefonnummern und bei knapp einem F\u00fcnftel der betroffenen Datens\u00e4tze auch IBANs. Demnach sind wohl keine Kreditkartendaten abgreifbar gewesen.<\/p>\n Weder dem Unternehmen noch den ermittelnden Beh\u00f6rden liegen, laut der Conrad-Mitteilung, Hinweise darauf vor, dass Kundendaten missbr\u00e4uchlich verwendet wurden. Auch wenn aus Sicht der Beh\u00f6rden keine Kundeninformation erforderlich ist, informiert das Unternehmen seine Kunden und die \u00d6ffentlichkeit 'im Sinne eines guten und partnerschaftlichen Umgangs vorsorglich'.<\/p>\n An dieser Stelle stellt sich mir nat\u00fcrlich die Frage, wie die Aussagen des Unternehmens in diesem Fall zu bewerten sind. Ob Kundendaten in Untergrundforen landen, ist sicherlich nicht ad-hoc zu beantworten \u2013 solange die Personen nicht identifiziert sind, die\u00a0 Zugriff auf die Daten hatten. M\u00f6glicherweise wei\u00df das Unternehmen mehr, ohne es zu verraten. Auf jeden Fall d\u00fcrfte das Ganze datenschutzrechtliche Konsequenzen im Sinne der DSGVO haben \u2013 es sei denn, der Fall liegt vor Mai 2018.<\/p><\/blockquote>\n Die IT-Experten von Conrad haben die Sicherheitsl\u00fccke im System identifiziert und geschlossen. Die betroffenen Daten waren in einer Elasticsearch-Datenbank gespeichert. Laut Conrad war diese Datenbank nicht frei im Netz zug\u00e4nglich, sondern nur durch Einsatz spezieller Software auffindbar. Diese Software macht sich L\u00fccken in der Sicherung von Datenbanken zunutze.<\/p>\n Conrad schreibt dazu: Sollten durch die Datenl\u00fccke Daten entwendet worden sein, k\u00f6nnten beispielsweise E-Mail-Adressen der betroffenen Kunden genutzt werden, um Spam-Mails an sie zu senden. Conrad r\u00e4t daher grunds\u00e4tzlich zu besonderer Vorsicht beim Umgang mit verd\u00e4chtigen E-Mails, insbesondere, wenn diese dazu auffordern, Anh\u00e4nge zu \u00f6ffnen.<\/p>\n Die letzte Aussage des Unternehmens steht in meinen Augen im krassen Widerspruch zur obigen Aussage, dass es kein missbr\u00e4uchliche Nutzung gegeben habe. Irgend etwas passt da nicht wirklich.<\/p><\/blockquote>\n Conrad gibt an, wegen des unerlaubten Eindringens in die Unternehms-IT unverz\u00fcglich Strafanzeige beim Landeskriminalamt gestellt und sofort das Bayerische Landesamt f\u00fcr Datenschutzaufsicht \u00fcber den Vorfall informiert zu haben. Das Unternehmen arbeite mit den Beh\u00f6rden zusammen, um den Vorgang aufzukl\u00e4ren und erforderlichenfalls weitere notwendige Konsequenzen zu ziehen, erkl\u00e4rt Tilman Scherer, verantwortlich f\u00fcr die Unternehmenssicherheit bei Conrad Electronic.<\/p>\n \"Die Sicherheit unserer Kunden und ihrer Daten ist uns sehr wichtig. Wir bedauern sehr, dass es zu dieser Datenpanne gekommen ist und bitten unsere Kunden aufrichtig um Entschuldigung\", so Werner Conrad, CEO Conrad Electronic. (via<\/a>)<\/p>\n Erg\u00e4nzung:<\/strong> Das Thema ist ja in diversen Medien binnen weniger Stunden aufgegriffen worden. Abseits der etwas ungeschickten und nebul\u00f6sen Conrad-Verlautbarungen tauchen inzwischen erste Nutzer auf, die mutma\u00dfen, dass die Conrad-Daten f\u00fcr Spam missbraucht werden. Im Forum von heise findet sich dieser Kommentar<\/a> mit folgendem Text:<\/p>\n Zugangsdaten aufgetaucht<\/p>\n Heute Mittag habe ich eine Erpresser E-Mail erhalten, in der mein Passwort als Name der anh\u00e4ngenden PDF Datei zu lesen war. Die E-Adresse war die, die ich zusammen mit dem Passwort bei Conrad verwendet habe. Ein schon sehr merkw\u00fcrdiger Zufall, da ja keine Daten bei Conrad abgeflossen sind?!<\/p>\n<\/div>\n<\/div>\n<\/blockquote>\n Und in diesem Kommentar<\/a> wird Spam von einer bei Conrad registrierten Mail-Adresse ab dem 14.11.2019 reklamiert. \u00c4hnliches wird hier<\/a> diskutiert. Das sind alles keine harten Fakten (da ich die Umst\u00e4nde nicht verifizieren kann) sondern nur Hinweise, die in ein sehr merkw\u00fcrdiges Bild passen, welches Conrad in meinen Augen gerade abgibt.<\/p>\n<\/div>\nConrad hat die Datenpanne in dieser Meldung<\/a> \u00f6ffentlich gemacht. Danach hat der H\u00e4ndler davon Kenntnis erlangt, dass sich Unbekannte durch Ausnutzung einer Sicherheitsl\u00fccke Zugang zu einem begrenzten Bereich des Conrad IT-Systems verschafft hatten. Potenziell, so schreibt Conrad, h\u00e4tten sie damit offenbar Zugriff auf einen Teil der Kundendaten gehabt.<\/p>\n
Alles halb so wild?<\/h2>\n
Unsicherter Elasticsearch-DB als Quelle des Lecks<\/h2>\n
\n
\n\n\n