lese gerade beim BloggingTom, dass sich PriceWaterhouseCoopers (die besagte Firma mit den 3 Buchstaben) gemeldet hat. Es geht um die Mail von WISO, die Betroffene darauf hinweist, man habe ihre Daten neben 56.000 anderen auf einem Server in China gefunden. Zwischenzweitlich wurde bekannt, dass die Daten aus einer Bewerbungsseite stammen, die User hinterlassen haben, um bei PWC einen Job zu bekommen. Die Daten enthalten u.a. einen Usernamen und ein passendes Passwort im KLARTEXT! Offensichtlich haben die Datendiebe diese Daten genutzt, um sich auf Seiten wie PayPal einzuloggen (ob die Versuche erfolgreich waren, ist mir unbekannt). Was das bedeutet, dürfte jedem klar sein.
Die PR-Meldung von PWC im Wortlaut:
PwC meldet Hacker-Angriff auf externe Bewerber-Datenbank
Staatsanwaltschaft eingeschaltet / Potenziell betroffene Bewerber direkt informiert / Daten von Geschäftskunden waren zu keinem Zeitpunkt betroffen
Das Wirtschaftsprüfungs- und Beratungsunternehmen PricewaterhouseCoopers (PwC) hat heute Strafanzeige gegen bislang unbekannte Daten-Hacker gestellt, die eine externe Servicedatenbank für Jobsuchende angegriffen und dabei Daten gestohlen haben. Diese von einem externen Serviceprovider betriebene Internet-Seite diente interessierten Nutzern zur vereinfachten Erstellung ihrer Bewerbung bei PwC.
Auf die Spur der Hacker kam PwC nach Hinweisen der ZDF-Redaktion Wiso am gestrigen Mittwoch. Unmittelbar eingeleitete Stichproben-Untersuchungen legen die Vermutung nahe, dass die Hacker die gestohlenen Adressen vor allem für Spam-Mails missbrauchen. Darüber hinaus sind E-Mail-Adressen und Passwörter neben Daten aus den Beständen anderer Unternehmen auf einem chinesischen Server aufgetaucht. PwC veranlasste seinen externen Serviceprovider umgehend zur Stilllegung der betroffenen Internet-Seite. PwC hat bereits damit begonnen, alle möglicherweise betroffenen Nutzer direkt über den Vorfall zu informieren und Hinweise zur eigenen Datensicherheit zu geben. PwC hat vorsorglich die Aufsichtsbehörde für den Datenschutz sowie die Berufsaufsicht von dem Hacker-Angriff und den eingeleiteten Sicherheitsmaßnahmen in Kenntnis gesetzt. Das Unternehmen wird die Ermittlungsbehörden in vollem Umfang bei der Aufklärung der Straftat unterstützen.
Nicht betroffen von dieser Hacker-Attacke sind sämtliche Internetangebote, die von PwC selbst betrieben werden. Dazu zählt vor allem der eigene Internetauftritt www.pwc.de. Ebenfalls nicht von der Attacke betroffen sind sämtliche Kunden- sowie alle übrigen Daten von Mitarbeitern und Bewerbern.
Personalvorstand Frank Brebeck: „Wir bedauern diesen auf ein isoliertes System begrenzten Vorfall außerordentlich und haben umfangreiche Informationsmaßnahmen ergriffen. Nach ersten Erkenntnissen handelt es sich um einen kriminellen Angriff, der nur äußerst schwer zu erkennen ist und kaum Spuren hinterlässt. Bewerber, die sich aktuell mit uns in Verbindung setzten möchten, können dies beruhigt auch weiterhin online tun. Die aktuell erreichbaren Bewerber-Seiten basieren auf einer anderen Systemplattform, deren Sicherheit wir aus aktuellem Anlass nochmals überprüft haben.“
Btw, PWC über sich:
Die PricewaterhouseCoopers AG Wirtschaftsprüfungsgesellschaft ist in Deutschland mit 8.390 Mitarbeitern und einem Umsatzvolumen von rund 1,35 Milliarden Euro eine der führenden Wirtschaftsprüfungs- und Beratungsgesellschaften. An 28 Standorten arbeiten Experten für nationale und internationale Mandanten jeder Größe. PwC bietet Dienstleistungen an in den Bereichen Wirtschaftsprüfung und prüfungsnahe Dienstleistungen (Assurance), Steuerberatung (Tax) sowie in den Bereichen Transaktions-, Prozess- und Krisenberatung (Advisory).
Krisen-KnowHow ist auch nötig jetzt, ohne gehässig klingen zu wollen oder zu sein. Der Fall ist ganz klar extrem … unerfreulich für alle beteiligten Parteien. Ob Schadensersatzklagen drohen, ist völlig unklar. Aber sicher interessant zu verfolgen für spätere Fälle.
Was unklar ist: Wieso konnten die Hacker die Passwörter entschlüsseln? War das PW schlecht oder gar nicht verschlüsselt? Auch daran wird viel hängen, ob es zu Klagen kommen wird.
Über einen Imageverlust muss man nicht schwadronieren, denn es ist ohne Zweifel hochnotpeinlich für PWC, dass es an die Öffentlichkeit kommt. Was Banken bisher umgehen konnten, soweit ich informiert bin.
