Fehlerkultur im Vergleich
Es ist ja so: Fehler passieren. Das ist menschlich. Entscheidend ist dann der Umgang damit. Kürzlich ist ein IT-Experte an den Chaos Computer Club (CCC) herangetreten, weil er massive Sicherheitslücken bei den Online-Vergleichsportalen Check24 und Verivox entdeckt hatte.
Weil das Aufspüren von Sicherheitslücken juristisch riskant ist, bleiben Hinweisgeber oft anonym und wenden sich an den CCC, der die Unternehmen dann kontaktiert. So lief es auch bei Check24 und Verivox ab. Die erste Lücke fiel dem Hinweisgeber bei Check24 auf. Sensible Daten waren einfach offen einsehbar – man musste nicht einmal registrierter Kunde sein. Spaßeshalber guckte der IT-Experte auch mal bei Verivox nach und entdeckte dort dieselbe Sicherheitslücke. Aber die Unternehmen gingen sehr unterschiedlich damit um. Während Check24 sich beim CCC mit einer Spende bedanken wollte, die allerdings nicht angenommen wurde – stattdessen sollte das Unternehmen das Geld an eine Seenotrettungsorganisation spenden, was dann auch geschah, reagierte Verivox zunächst gar nicht und dann reichlich verschnupft. Die von Verivox hinterlegte Mailadresse, über die bei akuten Risiken eine Kontaktaufnahme erfolgen sollte, funktionierte nicht. Die zuständige Person arbeitet ihrem Social-Media-Profil zufolge seit mehreren Jahren bei einem anderen Arbeitgeber. Das Ganze wirkt ein bisschen wie bei einer Schülerfirma, die noch übt, wie’s dann mal gehen soll, wenn man ein richtiges Unternehmen gründet. Nachdem Matthias Marx vom CCC Verivox dann über Service-Mailadressen und telefonisch kontaktiert hatte, erhielt er nach einer Woche eine harsche Mail von einem „Chief Technology Officer“, der ihm mitteilte, dass er „nicht befugt“ wäre Daten zu verarbeiten, zu denen er sich „Zugang verschafft“ habe. Er wurde auch zur unverzüglichen Löschung aufgefordert – mit Deadline. Marx konterte cool, dass es einen „Zugangsschutz“ erfordern würde, wenn man sich einen „Zugang verschaffen“ wolle. Aber den gab es eben nicht. Die Kunden wurden von dem Vorfall übrigens nicht unterrichtet. Auf der Seite von Verivox findet man unter „Datenschutz“ stattdessen noch den Hinweis auf eine massive Sicherheitslücke vom Mai 2023. Diese sei behoben worden.
Eins muss man dem Unternehmen lassen: Sicherheitslücken können sie! Da würden sie im Vergleich richtig gut abschneiden. In puncto Verantwortungsübernahme und Fehlerkultur ist aber noch wahrlich Luft nach oben.
Datenschutzkolumne
“So viele Buchstaben und sooo viel mehr, was damit ausgedrückt werden kann.“