Sonstiges

WISO II: Betroffene Firma meldet sich

lese gerade beim BloggingTom, dass sich PriceWaterhouseCoopers (die besagte Firma mit den 3 Buchstaben) gemeldet hat. Es geht um die Mail von WISO, die Betroffene darauf hinweist, man habe ihre Daten neben 56.000 anderen auf einem Server in China gefunden. Zwischenzweitlich wurde bekannt, dass die Daten aus einer Bewerbungsseite stammen, die User hinterlassen haben, um bei PWC einen Job zu bekommen. Die Daten enthalten u.a. einen Usernamen und ein passendes Passwort im KLARTEXT! Offensichtlich haben die Datendiebe diese Daten genutzt, um sich auf Seiten wie PayPal einzuloggen (ob die Versuche erfolgreich waren, ist mir unbekannt). Was das bedeutet, dürfte jedem klar sein.

Die PR-Meldung von PWC im Wortlaut:

PwC meldet Hacker-Angriff auf externe Bewerber-Datenbank

Staatsanwaltschaft eingeschaltet / Potenziell betroffene Bewerber direkt informiert / Daten von Geschäftskunden waren zu keinem Zeitpunkt betroffen

Das Wirtschaftsprüfungs- und Beratungsunternehmen PricewaterhouseCoopers (PwC) hat heute Strafanzeige gegen bislang unbekannte Daten-Hacker gestellt, die eine externe Servicedatenbank für Jobsuchende angegriffen und dabei Daten gestohlen haben. Diese von einem externen Serviceprovider betriebene Internet-Seite diente interessierten Nutzern zur vereinfachten Erstellung ihrer Bewerbung bei PwC.

Auf die Spur der Hacker kam PwC nach Hinweisen der ZDF-Redaktion Wiso am gestrigen Mittwoch. Unmittelbar eingeleitete Stichproben-Untersuchungen legen die Vermutung nahe, dass die Hacker die gestohlenen Adressen vor allem für Spam-Mails missbrauchen. Darüber hinaus sind E-Mail-Adressen und Passwörter neben Daten aus den Beständen anderer Unternehmen auf einem chinesischen Server aufgetaucht. PwC veranlasste seinen externen Serviceprovider umgehend zur Stilllegung der betroffenen Internet-Seite. PwC hat bereits damit begonnen, alle möglicherweise betroffenen Nutzer direkt über den Vorfall zu informieren und Hinweise zur eigenen Datensicherheit zu geben. PwC hat vorsorglich die Aufsichtsbehörde für den Datenschutz sowie die Berufsaufsicht von dem Hacker-Angriff und den eingeleiteten Sicherheitsmaßnahmen in Kenntnis gesetzt. Das Unternehmen wird die Ermittlungsbehörden in vollem Umfang bei der Aufklärung der Straftat unterstützen.

Nicht betroffen von dieser Hacker-Attacke sind sämtliche Internetangebote, die von PwC selbst betrieben werden. Dazu zählt vor allem der eigene Internetauftritt www.pwc.de. Ebenfalls nicht von der Attacke betroffen sind sämtliche Kunden- sowie alle übrigen Daten von Mitarbeitern und Bewerbern.

Personalvorstand Frank Brebeck: „Wir bedauern diesen auf ein isoliertes System begrenzten Vorfall außerordentlich und haben umfangreiche Informationsmaßnahmen ergriffen. Nach ersten Erkenntnissen handelt es sich um einen kriminellen Angriff, der nur äußerst schwer zu erkennen ist und kaum Spuren hinterlässt. Bewerber, die sich aktuell mit uns in Verbindung setzten möchten, können dies beruhigt auch weiterhin online tun. Die aktuell erreichbaren Bewerber-Seiten basieren auf einer anderen Systemplattform, deren Sicherheit wir aus aktuellem Anlass nochmals überprüft haben.“

Btw, PWC über sich:

Die PricewaterhouseCoopers AG Wirtschaftsprüfungsgesellschaft ist in Deutschland mit 8.390 Mitarbeitern und einem Umsatzvolumen von rund 1,35 Milliarden Euro eine der führenden Wirtschaftsprüfungs- und Beratungsgesellschaften. An 28 Standorten arbeiten Experten für nationale und internationale Mandanten jeder Größe. PwC bietet Dienstleistungen an in den Bereichen Wirtschaftsprüfung und prüfungsnahe Dienstleistungen (Assurance), Steuerberatung (Tax) sowie in den Bereichen Transaktions-, Prozess- und Krisenberatung (Advisory).

Krisen-KnowHow ist auch nötig jetzt, ohne gehässig klingen zu wollen oder zu sein. Der Fall ist ganz klar extrem … unerfreulich für alle beteiligten Parteien. Ob Schadensersatzklagen drohen, ist völlig unklar. Aber sicher interessant zu verfolgen für spätere Fälle.

Was unklar ist: Wieso konnten die Hacker die Passwörter entschlüsseln? War das PW schlecht oder gar nicht verschlüsselt? Auch daran wird viel hängen, ob es zu Klagen kommen wird.

Über einen Imageverlust muss man nicht schwadronieren, denn es ist ohne Zweifel hochnotpeinlich für PWC, dass es an die Öffentlichkeit kommt. Was Banken bisher umgehen konnten, soweit ich informiert bin.

Über den Autor

Robert Basic

Robert Basic ist Namensgeber und Gründer von BASIC thinking und hat die Seite 2009 abgegeben. Von 2004 bis 2009 hat er über 12.000 Artikel hier veröffentlicht.

25 Kommentare

  • Ich empfinde es als, gelinde gesagt, unangenehm, dass PwC hier nicht ein klares Schuldbekenntnis abgibt:

    – Es wurde nicht sichergestellt, dass die PWs nicht im Klartext gespeichert sind (auch auf einem externen Server / Dienstleister ist so etwas selbstredend zu verifizieren); da PwC eine Funktion hatte, mit der man sich sein Passwort zusenden lassen konnte, wusste PwC hiervon auch, hat es vermutlich sogar als *Anforderung* an die Implementierung gestellt!

    – Es wurde nicht sichergestellt, dass die Daten nach akzeptabler Zeit wieder gelöscht wurden. Aufgrund der Blog-Einträge geht es um mind. bis zu 4 Jahre alte Daten, ggf. gar älter

    – „neben Daten aus den Beständen anderer Unternehmen“ ist vermutlich, nach allem was andere in Blogs kommentieren, klar gelogen.

    Das der Vorfall passiert ist, ist schon ein Fiasko, aber dass da kein ehrliches „Unsere Schuld“ kommt, nur noch unerträglich 🙁

  • Ich glaube, es ist nicht unüblich – wenn auch etwas heikel -, Passwörter unverschlüsselt zu speichern. Ein beliebtes Argument ist: „Dann können wir dem Kunden sein Passwort zuschicken, wenn er’s vergisst.“

    Versuch doch mal die PUK für Deine SIM-Karte bei Deinem Netzbetreiber rauszufinden. Ein Bekannter hat mal vor Jahren bei seinem Anbieter angerufen: „Guten Tag, mein Name ist xy. Ich habe meine PIN dreimal falsch eingegeben und jetzt fragt das Handy nach einer PUK.“ „Ja, haben Sie die denn nicht mehr?“ „Nein.“ „Sagen Sie mal ihre Adresse.“ „Musterstraße 1, Musterstadt.“ „In Ordnung. Also, Ihre PUK ist 12345678.“

  • „PwC hat bereits damit begonnen, alle möglicherweise betroffenen Nutzer direkt über den Vorfall zu informieren und Hinweise zur eigenen Datensicherheit zu geben.“

    Nee, is klar! Jetzt würde mich nur mal interessieren, ob dein Bekannter tatsächlich auch noch von PwC informiert wird. Ohne Wiso hätte er das ja sonst gar nicht mitbekommen.

  • Ich glaube nicht, dass ein Unternehmen verpflichtet ist, Passwörter verschlüsselt abzuspeichern. Ich wüsste auch nicht, aus welcher Vorschrift man eine solche Pflicht ableiten will.

    Man sollte immer davon ausgehen, dass Daten, die man auf Webseiten eingibt, in falsche Hände geraten können – Dienste, auf die man über das Netz zugreifen kann, sind einfach nie 100%ig sicher.

    Es ist sicher ein Unterschied, ob ich mich bei einem privaten Forum, einem Unternehmen, dass bspw. auch Zahlungsdaten verarbeitet oder bei einer Bank einlogge – gerade bei ersterem sollte man nicht damit rechnen, dass ein Datenschutzbeauftragter über den korrekten Umgang mit Daten wacht.

  • ich glaube auch nicht, dass ein unternehmen verpflichtet ist, passwörter zu verschlüsseln, aber selbst das kleinste foren-skript auf omis blog verfährt so. sollten passwörter wirklich verschwinden, kann man sie immer noch ohne größeren aufwand neu setzen.

  • @Arno: Sagen wir mal so, es gibt derzeit (vielleicht wird das jetzt gesetzlich gleich mit geregelt) keine unmittelbare Verpflichtung, Passwörter zu hashen etc. Aber es ist „Stand der Technik“, insofern ist hier Fahrlässigkeit zu erkennen; dadurch, dass PwC das Feature sogar kannte (und vermutlich *wollte*), auch grobe Fahrlässigkeit.

    *Wenn* nachweisbar wäre (das wird wohl eher schwer fallen), dass durch diesen Klau auf andere Accounts zugegriffen würde mit finanziellem Schaden, würde das schon sehr eng für PwC werden.

    Aber das sind ja theoretische Überlegungen, die mäßig interessant sind. Zum „beliebten Argument“ (dem auch PwC bisher folgte) vgl. etwa http://blog.moertel.com/articles/2006/12/15/never-store-passwords-in-a-database — und die Erkenntnis ist wirklich älter als zehn Jahre!

  • Wie passen die 4 Jahre dann hiermit zusammen:

    „Datenaufbewahrung

    5. Wir speichern personenbezogene Daten die Sie uns übermitteln nur so lange, wie sie benötigt werden, um die Zwecke zu erfüllen, zu denen diese Daten übermittelt wurden, oder solange dies von Gesetzes wegen vorgeschrieben ist. „

  • Ich hab auch die Mail von WISO bekommen. Dachte ehrlich gesagt erst, es wär ne Phishing-Mail, aber das stand ja auch auf deren Homepage und PW und E-Mail passten auch. Hab vor kurzem ne Mail bekommen, dass jemand Unbefugtes versucht hat, auf mein PayPal-Konto zuzugreifen und dass das deswegen erstmal gesperrt wurde.
    Ich hab besagtes PW zum Glück nur für die Bewerbung bei PwC genutzt und nicht für PayPal, also wurde auch kein Geld abgebucht o.ä.. Kann man echt nur hoffen, dass die Idioten bei den meisten so ein Pech hatten. Hoffe die Hacker werden gefunden, aber die Chancen stehen ja denk ich mal nicht so gut leider.

  • Naja, da ich bei einer anderen Prüfungsgesellschaft im IT-Bereich arbeite, weiß ich, welche Anforderungen bei einer IT-Prüfung gesetzt werden – PwC könnte also durchaus wissen, dass man Passwörter sinnvollerweise verschlüsselt speichert.
    Bei irgendwelchen Foren bin ich vorsichtig und verwende eine extra dafür eingerichtete Emailadresse, aber bei meiner Bewerbung (die mindestens vier Jahre zurück liegt, eher 4,5 Jahre) damals habe ich natürlich meine „offizielle“ Mailadresse angegeben und hätte ganz einfach nie erwartet, dass es Sicherheitsprobleme gibt – hey, das ist immerhin eine Prüfungsgesellschaft! Glücklicherweise habe ich aber mein Foren-Passwort genommen, warum auch immer. Es ist also nichts passiert. Mein Paypalkonto wurde im Juli gesperrt, als jemand versucht hat, mein Konto zu nutzen. Dort verwende ich ein anderes Passwort, und das musste ich nach der Sperrung erneut ändern.
    Der Imageschaden von PwC sollte nicht unterschätzt werden…

  • Ich bin über die ganze Sache schon recht entsetzt. Ich habe auch die Email bekommen und hatte auch das Problem mit paypal vor einem Monat oder so. Ich habe bei PwC für ein paar Monate in der IT-Prüfung gearbeitet (daher auch meine Bewerberakte) und finde es skandalös, dass sie ihre eigenen Bewerber und (Ex-)Mitarbeiter nicht besser schützen als ach so tolle Wirtschaftsprüfungsgesellschaft. Wenn man die teilweise abstrusen Anforderungen sieht, die PwC an seine Mandanten bezüglich IT-Sicherheit stellt, dann kann das ganze hier nur ein schlechter Witz sein.

    Grüße

  • Ich habe heute mit der Pressestelle telefoniert und diese konnte mir keine Auskunft geben in welchem Umfang weitere Daten betroffen sind.

    Insbesondere Lebensläufe/Zeugnisse/Beurteilungen etc sind mit dem Passwort einsehbar.Dazu schweigt sich PWC aus.

    Auch verwundert es mich das nun schon die 2.Anfrage nicht richtig beantwortet wurde.

    PWC sicherte mir zu,mich ausführlich zu informieren,dies ist nicht geschehen.
    Warum PWC nicht einfach alle betroffenen User Passwörter zurücksetzt ist mir ein Rätsel.

    lg

    Sebastian

  • Jetzt gibt es auch eine Meldung im ZDF Videotext über den Vorfall…
    „56.000 Email-Adresse freigelegt“
    „Die Serie von Datenmissbrauchsfällen reißt nicht ab: Nach Recherchen des ZDF-Magazins WISO sind run 56.000 Email-Adresse mit zugehörigen Passwörtern im Internet frei zugänglich. Ein großer Teil stammt aus einer Bewerberdatenbank von PricewaterhouseCoopers (PwC), die von Hackern geknackt wurde […]“.

  • So eine Schande. Ich selber habe mich vor 4,5 Jahren bei PwC beworben. Heute kam die Mail von WiSO. Zum Glück benutze ich dieses Paßwort nicht mehr, aber der Gedanke, daß mein Lebenslauf, Anschrift und Geburtsdatum im Orbit schwirren, läßt mich erstarren. Bei manchen Online-Shops brauch man nämlich nicht mehr Daten, um zu bestellen…

    Was ist bloß los mit dieser Welt. Warum werden Daten nicht verschlüsselt und warum löscht PwC diese Daten nicht? Nach 4,5 Jahren bekomme ich bestimmt keine Einladung zum Vorstellungsgespräch mehr. Ich habe übrigens auch noch nie eine Absage erhalten…

    Gemeldet hat sich PwC allerdings noch nicht. Ich denke, daß das auch eine Lüge ist, so wie so ziemlich alles, was großen Firmen und die Bundesregierung jeden Tag erzählen…

    Wahrscheinlich wird der Vorfall unter’m Tisch gekehrt, unter dem Deckmantel: „Kollateralschaden… kann ja mal passieren.“

  • hallo,
    ich habe auch die WiSO email bekommen und mit ZDF sowolh auch mit PWC telefoniert. da „witztige“ ist, dass ich mich – obwohl ich mich in der bewerbungsphase befinde – soweit ich mich erinnern kann mich nicht bei pwc beworben habe, also stammen die Daten auch von wo anders….

    die ganze Geschichte finde ich dennoch unmöglich und bin entsetzt. egal welche Datanbank(en) gehackt wurden, dass darf bei online Bewerbugen und solchen Firmen einfach nicht passieren.

    überigens wurde mein payPAl (eBay) account auch vor ca 2 Monaten gehackt….gibt es da einen Zusammenhang??

  • mein paypal account wurde auch vor ca. 1.5 monaten durch paypal nach einem angriff gesperrt, ich habe auch die wiso mail erhalten und habe mich auch vor einigen jahren bei pwc beworben!

  • @moin: ja, den Zusammenhang gibt es! Mein paypal Accountant wurde auch versucht zu hacken, wie bei so vielen hier, deren Daten aus der Berwerberakte „aufgetaucht“ sind.

  • Also über ein Kommentar hier bin ich auf einen Beitrag bei Teltarif.de getoßen. Da wird zugegeben, dass nur im Klartext abgespeichert wurde.

    „Veraltetes System führte zu Klartext-Speicherung der Passwörter

    Am Nachmittag erklärte PwC-Sprecher Oliver Heieck im Gespräch mit teltarif.de, warum die Passwörter im Klartext abgespeichert wurden. Er gab zu, dass das System, „weil das schon einige Jahre online war, nicht angepasst“ wurde. „Wir verstehen, dass das unverständlich ist“, sagt Heieck. Eine eventuelle Verschlüsselung sei aber „bei dieser Art von Angriff eh geknackt worden.“

  • Weil hier in den Kommentaren die Frage aufkam, in welchem Zeitraum 56000 Datensätze betroffen sind. Ich habe heute ein E-Mail von PwC bekommen, indem man mich darauf aufmerksam macht, dass meine Daten betroffen sein könnten.

    Ja, es ist wahr, dass ich eine Bewerbung an PwC geschickt habe, aber das ist locker zwei Jahre her und den Job habe ich auch nicht bekommen. Müssen die meine Daten nicht irgendwann löschen?

    Ich bin „not amused“ – aber was tun?

    Gerti