Datenpanne bei deutschem Online-Buchhändler

LÜCKE
29.10.2009

Rechnungen Tausender Libri.de-Kunden waren online

Beim deutschen Online-Buchhändler Libri.de hat es eine Datenpanne gegeben. Rechnungen Tausender Kunden waren über einen Umweg für jeden Internet-Nutzer einsehbar. Das Unternehmen räumte den Fehler ein. "Wir konnten unverzüglich reagieren und die Lücke schnell schließen, bevor ein Schaden entstand", teilte Libri am Donnerstag in Hamburg mit.

Kundendaten seien nach Analyse der Logfiles nicht in den Umlauf gekommen. Ebenso seien zu keinem Zeitpunkt Zahlungsdaten von Kunden betroffen gewesen, teilte der Online-Buchhändler mit. Libri.de betreibt einen großen Online-Shop für Bücher und arbeitet als Dienstleister für rund tausend Buchhändler. Der Anbieter lässt seine Datensicherheit regelmäßig durch den TÜV prüfen.

Datenschutzbeauftragter: Schwerwiegende Panne

Ein Kunde des Online-Buchhändlers hatte das Blog Netzpolitik.org auf das Datenleck aufmerksam gemacht. Dessen Betreiber Markus Beckedahl probierte die Sicherheitslücke aus und stellte fest: Wer eine Rechnung als PDF-Dokument heruntergeladen hat, bekam dafür offenbar eine fortlaufende Nummer.

Gab man eine andere Nummer ein, konnte man sich auch die Rechnungen anderer Kunden ansehen - mit Namen, Anschriften, Rechnungsnummern und bestellten Artikeln. Wie der Betreiber des Weblogs erklärte, waren zeitweise rund 500.000 Kundendaten zugänglich.

Der Hamburger Datenschutzbeauftragte Johannes Caspar sagte dem Südwestrundfunk: "Ich halte die Datenpanne schon für ziemlich schwerwiegend, die von den Ausmaßen ziemlich erschreckend ist." Die Vorlieben im Bereich der Buchbestellung ließen erhebliche Rückschlüsse auf die Persönlichkeit von Menschen zu. Wer etwas gegen seine Depression tun wolle, werde genauso erkannt wie derjenige, der sich für erotische Literatur interessiere, oder der Professor, der Trivialliteratur liest.

Nachspiel für TÜV

Die Panne könnte auch für den TÜV Süd ein Nachspiel haben, der Libri.de ein Zertifikat ausgestellt hat. "Da muss man sich fragen: Was sind derartige Zertifizierungen letztlich wert?", sagte der Datenschutzbeauftragte.

(dpa/AP)