5,30 Euro kostet der "Praxisratgeber für Händler mit Internetshop", der auf der Seite Sparkassen-Shop.de zum Herunterladen bereit steht. Die Verantwortlichen der Internetpräsenz, die dem Deutschen Sparkassenverlag (DSC) gehört, scheinen ihn nicht gelesen zu haben.
Seite des Sparkassen-Shops: 350.000 Rechnungen waren einsehbar
(Foto: Screenshot: Sparkassenshop.de)Wie Datenschutz-Blogger Markus Beckedahl berichtet, konnten Kunden mit einem kleinen Trick sämtliche Rechnungen seit Oktober 2006 herunterladen. Etwa 350.000 Rechnungen wären so zugänglich gewesen, schreibt Beckedahl auf seinem Blog Netzpolitik.org, auf dem er in den vergangenen Wochen bereits Sicherheitslücken beim Online-Buchhändler Libri.de und dem Teenager-Netzwerk SchülerVZ dokumentiert hatte.
Der Trick: Als Kunde konnte man über das "Firebug", ein kleines Hilfsprogramm für den Internet-Browser Firefox, herausfinden, nach welchem Muster Bestellvorgänge katalogisiert wurden. Dort war es dann einfach möglich, die entsprechende Bestellnummer zu ändern - und damit auf die Rechnungen anderer Kunden zuzugreifen.
Die Rechnungen enthielten nach Beckedahls Angaben Name, Liefer- und Rechnungsdresse, gekauftes Produkt, Zahlungsart, Kontoinhaber, Bankleitzahl und Name der Bank.
Shop wird geprüft
Der DSC ist Teil der Sparkassen-Finanzgruppe, hat aber mit den Bankgeschäften der Kreditinstitute nichts zu tun - das Online-Banking ist folglich nicht betroffen. In einer Stellungnahme erklärt der Verlag, dass die Sicherheitslücke nach dem Hinweis durch Netzpolitik.org innerhalb einer Stunde geschlossen werden konnte.
Hochsensible Kundendaten wie Kontodaten seien "zu keiner Zeit einsehbar gewesen." Tatsächlich wurden auf der Rechnung nur die letzten vier Ziffern der Kontonummer angezeigt -allerdings hätten einige Kunden über vierstellige Kontonummern verfügt, berichtet Beckedahl.
Eine kurze Internetrecherche zeigt, dass institutionelle Kunden wie Kirchen, die bei kleineren Filialen ein Konto besitzen, in einigen Fällen tatsächlich Konten mit nur vier Ziffern besitzen. Der Deutschen Sparkassen- und Giroverband (DSGV) erklärte auf Anfrage, dass zu einer zweifelsfreien Identifizierung eines Kontos jedoch zehn Stellen nötig seien.
Nach Angaben des Sparkassenverlags gab es bislang keine Hinweise darauf, dass die Lücke für kriminelle Aktivitäten ausgenutzt worden wäre. "Ein Missbrauch der Sicherheitslücke konnte deshalb nicht nachgewiesen werden", heißt es in der Mitteilung. Eine Arbeitsgruppe prüfe derzeit den Shop auf weitere Sicherheitslücken.