Eine Sicherheitslücke hat die Daten von Kunden offengelegt, die bei kleineren Händlern auf großen Onlinemarktplätzen wie Kaufland, Otto, Check24 oder Idealo einkaufen. Nach SPIEGEL-Informationen sind von dem Datenleck rund 700.000 Endkunden betroffen. Von ihnen ließen sich Transaktionen seit dem Sommer 2018 einsehen: wer wann was von welchem Händler gekauft hat, mitsamt Anschrift, und in mehreren Tausend Fällen sogar die dazugehörigen Bankverbindungen.

Bei betroffenen Marktplätzen hat der Vorfall für Erschrecken gesorgt. Er werde »zum Anlass genommen, den gesamten Prozess infrage zu stellen« und ihn eventuell zu überarbeiten, sagt ein Otto-Sprecher. Die Zugänge der Händler zum Marktplatz seien komplett gesperrt worden. Ähnlich reagierte Check24. Man verwende bei den betroffenen Shopping-Angeboten generell Alias-E-Mails für bestellende Kunden, die echten Maildaten würden nicht an die Händler weitergegeben, ebenso wenig Bankdaten, sagte eine Sprecherin des Unternehmens. So sollten die Kundeninformationen geschützt werden. Kaufland wiederum betont, nur E-Mails und die Anschrift der Kunden bei einer Bestellung weiterzugeben.

Das Problem für die Onlineplattformen: Das Datenleck entstand bei einem Dienstleister, über den Einzelhändler sich an die Schnittstellen der Marktplätze im Web anbinden lassen. Solche Firmen sind eine Art technischer Mittler zwischen Händlern und Online-Handelsplattformen. Eine Vertragsbeziehung haben daher nur die Händler mit diesen Firmen, nicht aber die Marktplätze selbst. Die Plattformen schreiben Händlern zwar vor, sich um die Sicherheit der Daten zu kümmern. Mehr aber auch nicht. Bei einer Bestellung seien die Händler direkte Vertragspartner der Kunden und damit für den Schutz der Kundendaten verantwortlich, heißt es bei Kaufland. Man wolle die Kundendaten schützen, sagt der Otto-Sprecher. »Ein solcher Vorfall, hervorgerufen durch einen Dritten, zu dem wir keine Vertragsbeziehung unterhalten, ist dann sehr schädlich.«

Mehrere Dutzend solcher Schnittstellendienstleister tummelten sich im Markt, heißt es. Sie helfen den Händlern, die sich nicht direkt selbst an die Plattformen anbinden wollen oder können, und verknüpfen dabei die Schnittstellen der Plattformen mit den jeweiligen Warenwirtschaftssystemen der Händler, die ihre Waren über die Onlinemarktplätze verkaufen wollen.

Bei dem jetzt aufgetauchten Datenleck zeigt sich, wie sorglos dabei teils mit den Kundendaten umgegangen wird. Als vorvergangene Woche ein IT-Spezialist im Auftrag eines Einzelhändlers bei der Anbindung zu dessen Schnittstellendienstleister Modern Solution ein technisches Problem beseitigen sollte, stieß er auf die klaffenden Sicherheitslücken.

Problemlos auslesbare Zugangsdaten hinterlegt

Modern Solution gewährte seinen Kunden demnach einen direkten Zugriff auf seinen Server und mehrere dort hinterlegte Datenbanken. Die Firma aus Gelsenkirchen hatte zudem in ihrer Software, die jeder Händler bei sich installieren muss, problemlos auslesbare Zugangsdaten zu diesem Server hinterlegt, und die galten gleichermaßen für alle Kunden. Die Folge: Ein Kunde von Modern Solution konnte auf dem Server des Dienstleisters die Datenbanken aller anderen Kunden und die Transaktionen von deren Endkunden einsehen. All diese Informationen lagen dadurch praktisch offen vor dem IT-Spezialisten.

»Man muss sich vorstellen, da ist ein Programm, das alle Daten aller Händler und von deren Marktplätzen aggregiert. Und dann hatten die für ihre Datenbanken das Passwort im Klartext und ohne Verschlüsselung hinterlegt, Kundendaten obendrein auf dem Server seit Jahren nicht gelöscht«, sagt der IT-Spezialist, Chef eines Dienstleisters für Onlinehändler.

Die Software mit den Händlerzugangsdaten bei Modern Solution wiederum hätte man seinen Angaben zufolge theoretisch auch über eine Google-Suche finden können, denn für die entsprechende Datei gab es einen freien Downloadlink. Den Modern-Solution-Server wiederum könnten automatisierte Suchprogramme finden. Ob das irgendwann mal irgendjemand ausgenutzt hat, ist unklar. Modern Solution schrieb in seiner ersten Stellungnahme an seine Kunden, das sei »derzeit nicht bekannt«.

Die praktisch nicht existente Trennung bedeutete zudem, dass ein Händler, wenn er gehackt worden wäre, zum Sicherheitsrisiko für alle anderen Kunden des Dienstleisters geworden wäre.

»Wir stellten fest, dass das System weiterhin unsicher war«

Anonym warnte der IT-Experte nach seiner Entdeckung Modern Solution in einer E-Mail: Mit Erschrecken habe er festgestellt, »dass die übermittelten Zugangsdaten zu mehreren Datenbanken auf Ihren Servern führen«. In den Datenbanken befänden sich »empfindliche benutzerbezogene Daten«. Weitere Kundendaten ließen sich aus anderen Tabellen auslesen.

Er wandte sich auch an Mark Steier, den Betreiber der auf Onlinehandel spezialisierten Website wortfilter.de . Steier veröffentlichte am 23. Juni einen ersten Artikel zu dem Fall , danach mehrere weitere, auch weil die ersten, eiligen Reparaturversuche von Modern Solution offenbar untauglich waren.

Das bestätigen auch Aussagen von Otto. Sofort nach Bekanntwerden des Vorfalls seien alle Passwörter der Händler zurückgesetzt worden, sagt der Unternehmenssprecher. »Als Modern Solution vorgab, die Sicherheitslücke gefixt zu haben, stellten wir fest, dass das System weiterhin unsicher war.« Daraufhin seien die Zugänge dann komplett gesperrt worden und eine Anbindung an den Shop für Händler nur noch direkt möglich gewesen. Darüber seien die Händler informiert worden.

Die Website von Modern Solution ist seit Tagen durch einen »Liveticker« ersetzt, in dem die Firma ihre Umbaumaßnahmen dokumentiert. Fragen des SPIEGEL hat sie bisher nicht beantwortet.