Der Discounter Penny-Markt ist für preiswerte Waren bekannt. Nicht aber dafür, Daten kostenlos frei Haus zu liefern. So oder so ähnlich kam es aber den Machern des Blogs Hackerinfo vor. Der betroffene Server ist nämlich so offen wie ein Scheunentor.
Einer der Autoren des Blogs, der sich primär mit dem Thema Datenschutz beschäftigt, war per Zufall auf einen der Hauptserver der Discountkette PENNY-Markt GmbH gestoßen. Er konnte auf diesen ohne jede Passworteingabe oder sonstige Überprüfung zugreifen. Auf dem Server befinden sich umfangreiche Aufzeichnungen der innerbetrieblichen Geschäftsabläufe der Kette. Ferner die Angaben über Namen, Positionen und E-Mail-Adressen der Mitarbeiterinnen und Mitarbeiter des Unternehmens. Im Blog heißt es: „Vom Einkauf und Disposition der Ware, bis hin zur Lagerwirtschaft und der Auszeichnung der Ware im Laden sind zahlreiche Word- und Excel-Dateien vorhanden.
Parallel (das Fatale daran) befindet sich auch die technische Dokumentation der Systemlandschaft auf dem betroffenen Server. Also, welche Abteilungen Berechtigungen haben, auf diverse Fachbereiche und Ordner zuzugreifen etc. Die IP-Adressen der weiteren Server im Netzwerk und die der Arbeitsplatzrechner, der Waagen und sonstigen technischen Gerätschaften, die zur Ausstattung des Marktes gehören, finden sich dort ebenfalls wieder. So auch die Planung und Einführung der Waagen und der Kassensysteme und deren Verbindung zum Server. Bankverbindungsdaten, Ein- u. Verkaufslisten befinden sich im selben Ordner, wie die Vollversion von Office 2007 inklusive der Freischaltschlüssel für die Corporate Edition.“
Daten, für die sich manche Ämter oder die Konkurrenz sicherlich interessieren würden. Und dennoch. Es handelt sich dabei keinesfalls um einen Hack. Wer seine ftp-Server ohne Abfrage eines Usernamens und Passworts öffentlich gestaltet, der muss sich auch nicht wundern, wenn früher oder später ein Unbefugter Zugriff auf die höchst privaten Daten nimmt. Die Screenshots im Blogpost beweisen, dass es sich hierbei um keinen Fake handelt. Sollte das Management des betroffenen Unternehmens Interesse an einer gemeinsamen Lösung des Problems ihrer IT-Security haben. Die Betreiber sind jederzeit per E-Mail, Twitter oder Jabber erreichbar und helfen gerne. Früher haben sie die Administratoren der betoffenen Seiten selbst informiert. Oftmals kam nicht mal eine Antwort zurück, geschweige denn ein Wort des Dankes. Entweder man entfernte die Sicherheitslücken in aller Stille oder diese blieben noch über Wochen bestehen.
Bleibt abzuwarten, ob derartige Veröffentlichungen auf Dauer die Sensibilität der Firmen verändern können. Das jeweils betroffene Unternehmen dürfte zwar ihre Sicherheitspolitik umstellen. Unzählige andere Firmen laden die Surfer aller Welt aber noch immer zu einem ausführlichen virtuellen Spaziergang auf ihren Datenträgern ein und wundern sich, sollten einzelne Daten verloren gehen.
Ob Lebensmittel vom Laden um die Ecke oder Dienstleistungen von IT-Unternehmen: alles hat seinen Preis. Billig ist eben doch nicht immer mit dem Begriff gut gleichzusetzen.
Quelle :
www.gulli.com
