Zum Inhalt springen Zur Navigation springen
Aufsichtsbehörde knöpft sich REWE vor. Webseite offline!

Aufsichtsbehörde knöpft sich REWE vor. Webseite offline!

Nachdem letzte Woche Hacker in Server der zweitgrößten Handelsgruppe REWE eingedrangen, sind beim zuständigen Landesbeauftragten für Datenschutz, Ulrich Lepper weiterhin einige wesentlichen Fragen offen. Seit dem Vorfalll ist auch die Unternehmenswebseite (www.rewe.de) nicht erreichbar.

Was ist passiert?

Durch den Hackangriff konnten sich Unbekannte Zugriff auf rund 45.000 Datensätze verschaffen, die neben E-Mail-Adressen auch Passwörter zu von REWE betriebenen Tauschbörsen für Tier- und Fußballbilder verschaffen, die anschließend im Internet veröffentlicht wurden. Bank- oder Kreditkartendaten sollen hiervon jedoch nach Unternehmensangeben nicht betroffen sein.

REWE zieht Konsequenzen

Der Konzern ist sich der Tragweite des Vorfalls bewusst. Neben einer offiziellen Entschuldigung gegenüber den betroffenen Kunden kündigte REWE an, umgehend das gesamte System zu prüfen und Kundendaten nur noch verschlüsselt auf Servern abzuspeichern.

Ein Rewe-Sprecher nahm hierzu wie folgt Stellung:

„Wir machen nach dem Hackerangriff eine komplette Sicherheitsüberprüfung. Deshalb sind die Seiten zeitweise nicht oder nicht vollständig erreichbar. Wir testen jetzt alles, was möglich ist.“

REWE scheint besonnen zu reagieren (die REWE-Seite ist im Rahmen der Wartungsarbeiten seit Tagen offline), doch es drängt sich die Frage auf, wieso man Kundendaten auf Servern speichert, bei denen im Vorfeld nicht klar ist inwieweit diese dort sicher sind…

Aufsichtsbehörde fordert Antworten

Der sich an den Vorfall anschließende Kontrollbesuch der zuständigen Aufsichtsbehörde wirft indes weitere Fragen auf. So bestehen etwa noch Unklarheiten in den Verträgen zur Auftragsdatenverarbeitung (§ 11 BDSG) zwischen REWE und etwa dem Datenbankbetreiber als IT-Dienstleiter sowie zu einzelnen personenbezogenen Daten, die im Rahmen der Registrierung als Pflichtangeben erhoben werden. Auch hier wird REWE wohl noch nachbessern müssen.

Wie schütze ich mich als Betroffener?

Betroffene sollten prüfen, ob das bei REWE genutzte Passwort auch für den eigenen E-Mail-Account genutzt wird, was erfahrungsgemäß leider oft der Fall ist, und dieses gegebenenfalls umgehend ändern. Informationen zum Thema Passwortsicherheit haben wir für Sie hier zusammengestellt.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Ich bin mal gespannt, wie die das umsetzen, denn solche Systeme müssen ja auch die Daten lesen können. Nachdem der Dienstleister ja schon im alten System flächendeckenden Mist gebaut hat, habe ich wenig Hoffnung, dass das gut funktionieren wird.

  • Pingback: Sammelliste für REWE-WWF-Sticker : EviSell's Gedanken über Dies, Das & Jenes
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.