Nach einem Bericht des Online-Magazins heise.de ist der in Ismaning bei München ansässige Webhoster DomainFactory GmbH Ziel eines Hackerangriffs geworden. Zumindest vorübergehend sollen Daten tausender Kunden öffentlich abrufbar gewesen sein. Kunden von DomainFactory sollen vorsorglich ihr Passwort ändern.
»Datenleck bei Domainfactory: Hacker knackt Systeme, lässt Kundendaten mitgehen« – unter dieser Schlagzeile wies heise.de am 6. Juli 2018 zum ersten Mal auf eine Panne bei DomainFactory, einem der grössten Webhosting-Unternehmen im deutschsprachigen Raum und Teil von GoDaddy Inc., hin; weitere Berichte folgten. DomainFactory hat den Vorgang mittlerweile untersucht und eine Reihe von Informationen veröffentlicht. Demnach behauptete am 3. Juli 2018 ein Nutzer im DomainFactory-Forum, Zugang zu Kundendaten zu haben. Hintergrund war nach den Recherchen von heise.de ein Streit des nach eigenen Angaben aus Österreich stammenden Angreifers mit einem Dritten um einen angeblich siebenstelligen Betrag. Das Ergebnis einer ersten Untersuchung von DomainFactory war, dass nach einer Systemumstellung, die Ende Januar 2018 erfolgte, unbeabsichtigt bestimmte Kundeninformationen für außenstehende Dritte über einen Datenfeed zugänglich waren. Dieser Datenfeed wurde ausgelöst, wenn Kunden an ihren Kundenkonten Änderungen vorgenommen hatten, die beim Speichern jedoch Systemfehler ausgelöst haben. Die Informationen in dem Datenfeed umfassten Kundenname, Firmenname, Kundennummer, Kunden-E-Mail-Adresse, Anschrift, Telefonnummer, Telefon-Passwort, Bankname und Kontonummer (z.B. IBAN oder BIC) sowie den SchufaScore. Der Feed enthielt keine weiteren Zahlungsdaten. Der Datenfeed wurde unmittelbar nach Entdeckung geschlossen; auch das Forum wurde rasch geschlossen, um einen weiteren Zugang zu diesen Informationen zu verhindern.
DomainFactory hat eine externe Sicherheitsfirma beauftragt, um sich auf die Schadensbegrenzung konzentrieren zu können, um eine forensische Analyse der Situation vornehmen und um weitere möglicherweise problematische Systeme zu erkennen und gegebenenfalls zu schließen. Zudem wurde die Authentifizierung für telefonische Anfragen mit dem Telefon-Passwort gesperrt. Außerdem wurden sämtliche Zugangsdaten von Mitarbeitern und alle sonstigen systemrelevanten Passwörter abgeändert. Schließlich wurden die Datenschutzbehörde, das Bundesamt für Sicherheit in der Informationstechnik (BSI) und alle Kunden über die Datenpanne informiert. Man geht derzeit davon aus, dass der unbefugte Zugriff durch eine Einzelperson erfolgte; es gibt keine Hinweise, dass weitere Personen Zugriff auf die DomainFactory-Systeme hatten. Man könne aber noch nicht feststellen, auf welche Kundendaten der Angreifer zugegriffen hat. Sämtlichen Kunden wird vorsorglich empfohlen, ihre Passwörter bei DomainFactory so schnell wie möglich abzuändern. Ferner sollten Kunden ihre Bankkontoauszüge überwachen und bei verdächtigen Kontobewegungen in Erwägung ziehen, die Polizei zu verständigen.
Nicht erst mit Anwendung der Datenschutzgrundverordnung sollte das Thema Datensicherheit allgemein eine höhere Priorität geniessen. Das BSI hat eine Reihe von Vorgaben für die praktische Passwortgestaltung veröffentlicht, die dabei helfen sollen, die Sicherheit der Zugangs- und Zugriffsrechteverwaltung eines EDV-Systems entscheidend zu verbessern. Insoweit sollte der aktuelle Vorfall nicht nur für Kunden von DomainFactory ein Anlass sein, ihre eigene Datensicherheit zu prüfen und bei Bedarf anzupassen.