Aufgrund einer Sicherheitslücke waren 150.000 Datensätze und 7,1 Millionen E-Mail-Adressen einsehbar. Schlecker erklärte, man habe das Leck bereits wieder geschlossen.
Kundendaten der deutschen Drogeriemarktkette Schlecker sind nach einem Datenleck im Internet zugänglich gewesen. 150.000 Online-Kunden waren betroffen, wie das Unternehmen am Freitag mitteilte. Hochsensible Informationen wie Kontonummern oder Passwörter seien durch die Panne jedoch nicht öffentlich geworden, betonte Schlecker. Auch Daten von Österreichern waren einsehbar, bestätigte Schlecker gegenüber österreichischen Medien. Das Datenleck sei bei einem externen Dienstleister entstanden.
Die "Bild"-Zeitung hatte berichtet, dass 150.000 Datensätze von Schlecker-Online-Kunden mit Vor- und Nachnamen, Adresse, Geschlecht, E-Mail-Adresse und Kunden-Profil sowie 7,1 Millionen E-Mail-Adressen von Newsletter-Kunden der Drogerie-Firma abrufbar gewesen seien. Das Unternehmen mit Sitz im baden-württembergischen Ehingen erstattete Anzeige gegen Unbekannt. Der illegale Zugriff auf die Daten sei offenbar durch einen "internen Angriff" möglich geworden, erklärte Schlecker.
Der Mainzer Internet-Unternehmer Tobias Huch, der das Datenleck über "Bild.de" öffentlich machte, sagte hingegen, die Informationen seien für technisch Versierte offen erreichbar gewesen. "Wir haben nichts gehackt, wir haben nicht gegen das Gesetz verstoßen", sagte Huch der Nachrichtenagentur dpa. Er habe am Donnerstagmorgen etwa fünf Minuten gebraucht, um an die Daten zu kommen.
Daten ordnungsgemäß vernichtet
Huch räumte ein, dass gewöhnliche Computernutzer kaum auf die Schwachstelle gestoßen wären. Er habe neben "Bild.de" umgehend die Behörden informiert - das Unternehmen allerdings nicht. Am Freitag hätten Vertreter des rheinland-pfälzischen Datenschutzbeauftragten und des Innenministeriums von Baden-Württemberg die Daten auf den Computern von Huchs Firma ordnungsgemäß vernichtet, sagte er.
Die Drogeriekette betont, das Datenleck sei nicht direkt im Schlecker-Onlineshop aufgetreten, sondern bei einem externen Dienstleister. Nach ersten Erkenntnissen habe es vermutlich nur wenige unbefugte Zugriffe auf die von Schlecker gesammelten Informationen über ihre Online-Kunden gegeben, hieß es.
Der Datenschutz-Landesbeauftragte Edgar Wagner berichtete in Mainz, das Sicherheitsleck sei offenbar beim Mail-Versand bei dem von der Drogeriekette betrauten Dienstleister entstanden. Zu den Kunden des Online-Dienstleisters gehören nach "Bild"- Angaben unter anderem auch das deutsche Finanzministerium, die Allianz Versicherung, das Bundesverwaltungsgericht und der SPD-Parteivorstand.
Datenschutz keine lästige Pflicht
Seine grundsätzliche Sicherheitsbedenken im Umgang mit Kundendaten äußerte der rheinland-pfälzische Datenschützer Wagner: "Die Unternehmen müssen sich bewusst werden, dass mit der Nutzung des Internets für Unternehmenszwecke Datenschutz-Risiken verbunden sind, die bereits bei bei der Planung von Geschäftsprozessen beachtet werden müssen", mahnte er. "Datenschutz im Unternehmen ist keine lästige Pflicht, sondern Voraussetzung für ein erfolgreiches Agieren im Netz."
Huch sagte, er habe das Leck "durch Zufall" entdeckt. Da sein Unternehmen auch Kunden zu IT-Sicherheit berate, forschten er und seine Mitarbeiter auch regelmäßig nach Sicherheitslücken auf Websites.
(APA/dpa)
