Namen, Adressen und Profile von 150 000 Kunden waren im Internet einsehbar

Ehingen. Erneut sind bei einem großen deutschen Unternehmen Sicherheitslücken aufgedeckt worden. Kundendaten der Drogeriemarktkette Schlecker waren nach einem Datenleck im Internet zugänglich. 150 000 Online-Kunden waren betroffen, teilte das Unternehmen am Freitag mit. Laut "Bild"-Zeitung umfassten die Datensätze Vor- und Nachnamen, Adresse, Geschlecht, E-Mail-Adresse und Kunden-Profil sowie 7,1 Millionen E-Mail-Adressen von Newsletter-Kunden der Drogeriefirma. Zu den Kunden gehörten demnach das Finanzministerium, die Allianz, das Bundesverwaltungsgericht und der SPD-Parteivorstand.

Das Unternehmen mit Sitz im baden-württembergischen Ehingen erstattete Anzeige gegen unbekannt. Der illegale Zugriff auf die Daten sei offenbar durch einen "internen Angriff" möglich geworden, so Schlecker. Hochsensible Informationen wie Kontonummern oder Passwörter seien durch die Panne jedoch nicht öffentlich geworden, betonte Schlecker.

Der Mainzer Internetunternehmer Tobias Huch, der das Datenleck über "Bild.de" öffentlich machte, sagte hingegen, die Informationen seien für technisch Versierte offen erreichbar gewesen. "Wir haben nichts gehackt, wir haben nicht gegen das Gesetz verstoßen", sagte Huch. Er habe am Donnerstagmorgen etwa fünf Minuten gebraucht, um an die Daten zu kommen.

Huch räumte ein, dass gewöhnliche Computernutzer kaum auf die Schwachstelle gestoßen wären. Er habe umgehend die Behörden informiert - das Unternehmen allerdings nicht. Am Freitag hätten Vertreter des rheinland-pfälzischen Datenschutzbeauftragten und des Innenministeriums von Baden-Württemberg die Daten auf den Computern von Huchs Firma ordnungsgemäß vernichtet, sagte er.

Die Drogeriekette betont, das Datenleck sei nicht direkt im Schlecker-Onlineshop aufgetreten, sondern bei einem externen Dienstleister. Nach ersten Erkenntnissen habe es vermutlich nur wenige unbefugte Zugriffe auf die von Schlecker gesammelten Informationen über ihre Online-Kunden gegeben, hieß es.

In den vergangenen Jahren ist es immer wieder zu schweren Datenpannen bei Firmen und Behörden gekommen. So waren auch bei der Deutschen Telekom, beim Discounter Lidl oder dem Finanzdienstleister AWD sensible Daten von Kunden oder Mitarbeitern für Unbefugte einsehbar. Bei mehreren Banken, darunter die Landesbank Berlin oder die KarstadtQuelle-Bank, waren die Daten von Kredtikartenbesitzern in großem Stil in falsche Hände gelangt. Auch bei der Bundesagentur für Arbeit und mehrfach bei dem Internetnetzwerk SchülerVZ gab es schwerwiegende Datenpannen.