|
Handelsblatt Nr. 180 vom 18.09.00 Seite 28 Banken und Versicherungen Genau das hatten die Kunden ohnehin erwartet, als sie dem nach eigenen Angaben größten deutschen Direktversicherer mit Sitz in Frankfurt elektronische Post schickten. "Wenn Sie einen Schaden haben, melden Sie ihn gleich hier und online", heißt es auf den Internet-Seiten des Versicherer (www.deutsche-allgemeine.de). Und weiter: "Damit auch im Internet nichts geschieht, betreten Sie jetzt einen geschützten Bereich. Hier nutzen wir die erprobte und weltweit eingesetzte Schutzsoftware SSL (Secure Sockets Layer). Das ist eine Spezialsoftware, die dafür sorgt, dass alle Ihre Daten bei uns und nur bei uns ankommen. Das heißt, niemand kann sie auf dem Weg zu uns oder zurück zu Ihnen lesen." Die Panne: "Die Daten wurden zwar tatsächlich sicher übermittelt, aber unsicher gespeichert", fand der Darmstädter Internet-Experte Volker Weber heraus. Einem DA-Kunden ist das Sicherheitsloch aufgefallen, worauf er sich an Weber wandte, um das überprüfen zu lassen. "Der Versicherer ließ in einer stümperhaft programmierten Lotus-Domino-Anwendung die über das Web eingegebenen Daten ungeschützt herumliegen", so Experte Weber, der die DA sofort informierte und danach seine Recherchen im Branchendienst heise-online (www.heise.de) veröffentlichte. Lotus Domino ist ein hoch komplexer Server für E-Mails und andere Anwendungen, der u.a. diesen großen Vorteil bietet: Schickt ein Kunde elektronisch ein Formular mit Daten, kann das ohne Zwischenschritte weiter verarbeitet werden. Weber: "Lotus Dominio ist ein gutes System; es war aber in diesem Fall lausig programmiert. Deshalb war es für Dritte mit guten Internet- und Domino-Kenntnissen möglich, in Hunderten von Formularen herumzustöbern, zum Beispiel Formularen zu Schadenmeldungen, Kfz-Ummeldungen und Kontoänderungen", so Weber gestern. Die DA war am Wochenende für eine Stellungnahme nicht erreichbar, allerdings hatte der gerichtlich zugelassene Versicherungsberater Michael Kronenberg bereits angefragt und folgende Antwort von der DA Direkt erhalten: "Aufgrund eines Fehlers innerhalb des Mailsystems war es möglich, dass einige Datenfelder generierter E-Mails von unberechtigten Dritten einsehbar waren. Die DA Direkt geht nach derzeitigem Kenntnisstand davon aus, dass es sich hierbei nicht um Datenfelder mit personenbezogenen Daten gehandelt hat. Dieser Fehler ist von der DA Direkt sofort behoben worden." Susanne Timm vom Internet-Dienstleister Timmnet, Mönchengladbach, sagte gestern dem Handelsblatt: "So eine Panne hätte niemals passieren dürfen. Das System selber ist sicher, es muss aber von Profis für die jeweilige Anwendung richtig konfiguriert werden. Leider sind solche Fälle geeignet, das Vertrauen in Online-Geschäfte erheblich zu stören." |