Wir haben die Sicherheitslücken geschlossen

Knapp eine Woche, nachdem netzpolitik.org massive Datenschutz-Pannen beim Online-Buchshop sowie den Partnerbuchhandlungen von libri.de aufgedeckt hat (buchreport.de berichtete), ist bei allen Beteiligten Schadensbegrenzung angesagt. Während die Online-Tochter des Barsortiments Libri darum bemüht ist, die Sicherheitslücken zu schließen und das Vertrauen der Kunden zurückzugewinnen, haben auch die Wettbewerber ihre Shops überprüft. Und selbst der TÜV Süd, der libri.de im Mai sein „s@fer shopping“- Zertifikat (Foto) verliehen hat, will nach buchreport-Recherchen möglicherweise Konsequenzen ziehen. Im Interview mit buchreport.de äußert sich libri.de-Chef Per Dalheimer über die Ursachen, das Ausmaß und die Folgen der Panne.

Was ist schief gelaufen? Wie konnten diese von (Computerexperten so bezeichneten) „dilettantischen“ Fehler passieren?
Der Fehler ist passiert. Das war natürlich keine Absicht. Die Verunsicherung können wir persönlich alle nachvollziehen, da wir, d.h. alle Dienstleister und Mitarbeiter, auch selbst Kunden bei libri.de sind und auch von der Lücke betroffen waren. Wichtig ist, dass wir durch Verbesserung der Prozesse solche Fehler in Zukunft vermeiden.

Waren auch große Shops wie vom Spiegel betroffen – hätte sich jemand dort Zugang verschaffen können?
Nein. Die Passwort-Lücke betraf nur Anbieter, die das Default-Passwort nicht geändert haben. Diese trifft generell für die großen Anbieter nicht zu.

Angeblich erfolgte der Zugriff sogar bis zum Warenwirtschaftssystem der Buchhändler…
Nein, das ist falsch: es gibt keine Verbindung zwischen Internetshop und Warenwirtschaft, so dass die Warenwirtschaften nicht betroffen waren. Auch waren entgegen einiger Berichte keine Zahlungsdaten betroffen, da diese aus Sicherheitsgründen nicht im Backoffice zu sehen sind.

Welche Konsequenzen haben Sie aus den beiden Pannen gezogen?
Wir haben die Sicherheitslücken unverzüglich geschlossen und in den letzten Tagen alle Systeme noch einmal auf den internen Prüfstand gestellt. Parallel haben wir uns durch externe Dienstleister prüfen lassen. In Zukunft werden wir unterschiedliche externe Prüfer nutzen und interne Prozesse so überarbeiten, dass entsprechende Lücken vermieden werden.

Es gab seither weitere Hinweise auf Lücken – man habe an einigen Stellen der Seite eigenen Code einbetten können. Haben Sie das geprüft?
Wir haben vor und nach den Meldungen auf netzpolitik.org sehr viel Zeit mit der Analyse und dem sofortigen Schließen der gemeldeten Lücken verbracht und zudem nach weiteren, eventuell noch unentdeckten Lücken gesucht. Uns sind keine weiteren Lücken bekannt.

netzpolitik.org hat Sie auf eine massive Sicherheitslücke aufmerksam gemacht und Ihnen so die Gelegenheit gegeben, diese zu schließen. In Ihrem Rundschreiben an die Partnerbuchhändler schreiben Sie: „Gestern hat der Internetblog Netzpolitik.org versucht, sich illegal Zugang zum Libri.de Partnermanager von Buchhandlungen zu verschaffen.“ Wieso räumen Sie nicht Ihr Fehlverhalten ein, statt die Schuld bei anderen zu suchen?
Wir hatten niemals auch nur im entferntesten das Gefühl verbreiten wollen, nicht selbst für die Lücken verantwortlich zu sein. Vor diesem Hintergrund ist die Formulierung unglücklich gewählt. Ich halte Herrn Beckedahls Engagement sich aktiv für einen Verbesserung der Datensicherheit einzusetzen für eine gute Sache.

Mehr zu den Reaktionen in der Buchbranche im kommenden buchreport.express, der am Donnersrtag erscheint.

Hintergrund: Lücken von libri.de & Co.

Das u.a. beim Thema Datenschutz einflussreiche Blog netzpolitik.org (das auch das Daten-Loch bei SchülerVZ aufdeckte) hat bei libri.de zwei große Lücken entdeckt:
– Am Donnerstag vergangener Woche meldete die Webseite, dass 500.000 Rechnungen des Onlineshops „mehr oder weniger frei im Netz“ standen. Der Autor habe testweise in einer halben Stunde 20.000 Rechnungen herunterladen können. Zu den Daten gehörten Kundenadresse, Kaufdatum, gekaufte Produkte, Preis, Rechnungsnummer, Kundennummer sowie Bezahlungsweise und Partnerbuchhandlung vor Ort (über die sich der Kunde die Bestellung ausliefern lässt).
– Am Freitag folgte der Hinweis auf eine noch größere Lücke: netzpolitik.org konnte sich mit einem dem Blog zugespielten Passwort wie „70006000“ bei einem der von libri.de betriebenen Shops der Partnerbuchhändler einloggen und die kompletten Bestellstatistiken, Bestellhistorie, Beleghistorie und Kundenliste (mit Mail- und Postadressen) einsehen. Das Pikante daran: Mit den nächsthöheren Passwort-Zahlen (also in diesem Beispiel: „70006001“ usw.) erhielt das Blog Zugriff auf weitere Shops. Auf diesem Weg hätten die Blogger die Shops übernehmen können, indem sie die Zugangs- und Kontaktdaten geändert hätten. Dies wäre bei allen Shops möglich gewesen, die das ursprünglich von libri.de verschickte Passwort nicht geändert haben – ein Versäumnis der Buchhändler, aber auch von libri.de, da die Initialpasswörter zu einfach aufgebaut waren. Kommentar des Chaos Computer Club: „libri.de hat bewiesen, dass sie nichtmal über Grundkenntnisse in IT-Sicherheit verfügen.“

Screenshots: netzpolitik.org, buchreport.de, Foto: libri.de