Conrad Electronic selbst stellt es als “Datenpanne” dar; die Betroffenen sehen 14 Millionen gehackter Kunden-Datensätze nicht so entspannt. Denn sie befürchten mindestens eine Spam,- bzw. Phishing-Mail Welle auf die hinterlegten Mailadressen.
Warum informierte Conrad nicht?
Was die möglicherweise betroffenen Kunden besonders ärgert, ist das sie vonseiten der Conrad Electronic Gruppe nicht persönlich informiert wurden.
Ja, auch für mich war es ein Schock, dies von HEISE erfahren zu müssen. Als Netzbürger ist man aber einiges gewohnt und ändert dort halt schnell Passwort und weitere Sachen. Mehr kann man eh nicht machen, außer vielleicht gar das Kundenkonto schließen …
Conrad selbst erklärt dies in einem Tweet:
@bibo_bird Wir setzen hier auf maximale Öffentlichkeit und schnellstmögliche Information. Deshalb haben wir die Information über Medien, via Website und auf unseren Social-Media-Accounts verbreitet, statt nur Mails an potenziell betroffene Kunden zu schicken.
— Conrad Electronic (@conradgermany) November 19, 2019
Spezielle Informationsseite für Kunden
Über eine speziell eingerichtete Landingpage können Kunden sich informieren. Hier sind alle Hinweise zum Datenschutz bei Conrad, dem Datenschutzbeauftragten und zusätzlich ein Kontaktformular für Rückfragen hinterlegt: https://www.conrad.de/de/ueber-conrad/aktuelle-kundeninformation.html
Peinlich: Security Dienstleister melden sich
Interessant ist, wie viele Experten sich derzeit öffentlich bei Conrad melden und ihre Dienste und oder Produkte anbieten. Irgendwie peinlich für ein fast 100 Jahre altes Unternehmen, welches auch B2B Kunden mit “hochprofessionellen Dienstleistungen” versorgt. Und sich als “zentrales Drehkreuz für Sortimente und Services im Bereich der Technik- und Elektronik-Distribution” sieht.
Ehrliche Fachleute geben aber auch öffentlich zu, wie schwer die Absicherung digitaler Infrastruktur ist. Heute stecken oft massive Interessensgruppen hinter den beauftragten “Hackern” (eher Cracker), vielleicht die Konkurrenz? Denke, es sind selten gelangweilte Scriptkiddies, die sich mit größeren Firmen anlegen, sondern bezahlte Gruppen mit enormen Know how.
Conrad hat ein unglaublich großes Sortiment an Elektronik Teilen, ist ein Paradies für Bastler. Auch die Palette an digitalen und analogen Fertig-Produkten für uns Endkunden ist riesig und von guter Qualität. Der Versand ist zuverlässig, der Support eher nicht so. Aber mir würde etwas fehlen, wenn ich wegen dieser Sache das Konto aufgeben würde.
Hier nun die Pressemeldung
Datenpanne: Conrad Electronic Gruppe informiert vorsorglich Kunden
- Teil der Kundendaten war potenziell für widerrechtlichen Zugriff zugänglich
- Sicherheitslücke inzwischen geschlossen
- Keine Kreditkarteninformationen und keine Kundenpasswörter betroffen
Bei Conrad Electronic ist es zu einer Datenpanne gekommen: Das Unternehmen hat Kenntnis davon erlangt, dass sich Unbekannte durch Ausnutzung einer Sicherheitslücke Zugang zu einem begrenzten Bereich des Conrad IT-Systems verschafft hatten. Potenziell hätten sie damit offenbar Zugriff auf einen Teil der Kundendaten gehabt. Nach gründlicher Untersuchung liegen keine Hinweise darauf vor, dass der Zugang genutzt worden wäre, um Daten missbräuchlich zu verwenden.
Die knapp 14 Millionen Kunden-Datensätze der Conrad Gruppe, auf die Zugriff möglich gewesen wäre, umfassen Postadressen, teilweise E-Mail-Adressen bzw. Fax- und Telefonnummern und bei knapp einem Fünftel der betroffenen Datensätze auch IBANs.
„Wegen des unerlaubten Eindringens in unsere IT haben wir unverzüglich Strafanzeige beim Landeskriminalamt gestellt und sofort das Bayerische Landesamt für Datenschutzaufsicht über den Vorfall informiert. Wir arbeiten eng mit den Behörden zusammen, um den Vorgang aufzuklären und erforderlichenfalls weitere notwendige Konsequenzen zu ziehen“, erklärt Tilman Scherer, verantwortlich für die Unternehmenssicherheit bei Conrad Electronic.
Die IT-Experten von Conrad haben die Sicherheitslücke im System bereits identifiziert und geschlossen. Die betroffenen Daten waren in einer sogenannten „Elasticsearch“-Datenbank gespeichert und nicht frei im Netz zugänglich, sondern nur durch Einsatz spezieller Software auffindbar, die sich Lücken in der Sicherung von Datenbanken zunutze macht.
Sollten durch die Datenlücke Daten entwendet worden sein, könnten beispielsweise E-Mail-Adressen der betroffenen Kunden genutzt werden, um Spam-Mails an sie zu senden. Conrad rät daher grundsätzlich zu besonderer Vorsicht beim Umgang mit verdächtigen E-Mails, insbesondere, wenn diese dazu auffordern, Anhänge zu öffnen.
Weder dem Unternehmen noch den ermittelnden Behörden liegen Hinweise darauf vor, dass Kundendaten missbräuchlich verwendet worden wären. Auch wenn aus Sicht der Behörden keine Kundeninformation erforderlich ist, informiert das Unternehmen seine Kunden und die Öffentlichkeit im Sinne eines guten und partnerschaftlichen Umgangs vorsorglich.
“Die Sicherheit unserer Kunden und ihrer Daten ist uns sehr wichtig. Wir bedauern sehr, dass es zu dieser Datenpanne gekommen ist und bitten unsere Kunden aufrichtig um Entschuldigung“, so Werner Conrad, CEO Conrad Electronic.