Sonstiges

WISO IV: PWC-Mail an die Betroffenen

Zitat von „SomeOne“:

Kam heute Abend dann „€œendlich“€? rein:

„€”“€”“€”“€”“€”“€”“€”“€”“€”“€”“€”“€”“€”“€”“€”“€”“€”“€”“€”“€”“€”“€”“€”
Sehr geehrte Damen und Herren,

aus aktuellem Anlass möchten wir Sie darüber informieren, dass unbekannte Daten-Hacker einen Angriff auf eine externe Servicedatenbank für Jobsuchende durchgeführt haben. PricewaterhouseCoopers (PwC) hat diese von einem externen Serviceprovider betriebene Internet-Seite genutzt, um Kandidaten die Bewerbung bei PwC zu ermöglichen. Leider müssen wir Ihnen mitteilen, dass Ihre Daten von diesem rechtswidrigen Angriff auf unsere Systeme betroffen sein könnten.

Wir bedauern diesen Vorfall außerordentlich und haben inzwischen umfangreiche Maßnahmen ergriffen. PwC hat sofort reagiert und den Zugang zum System stillgelegt, so dass kein weiterer Zugriff auf die Datenbank möglich ist. Selbstverständlich haben wir unverzüglich die Staatsanwaltschaft eingeschaltet und Strafanzeige gegen die bislang unbekannten Daten-Hacker gestellt.

Aus Sicherheitsgründen empfehlen wir Ihnen, Ihre Zugangsdaten und insbesondere Ihr Passwort auf allen von Ihnen genutzten Webseiten unverzüglich zu ändern. Unmittelbar eingeleitete Stichproben-Untersuchungen legen die Vermutung nahe, dass die Hacker die gestohlenen Adressen vor allem für Spam-Mails missbrauchen. Darüber hinaus sind E-Mail-Adressen und Passwörter neben Daten aus den Beständen anderer Unternehmen auf einem chinesischen Server aufgetaucht. Bewerbungsunterlagen sind nach unseren Erkenntnissen nicht offen im Internet einsehbar.

Für Ihre Bewerbungsunterlagen bedeutet das: Wenn Sie Änderungen an Ihren Unterlagen vornehmen möchten, informieren Sie uns bitte auf dem postalischen Weg oder per E-Mail.

Anschrift: E-Mail:
PricewaterhouseCoopers AG [xyz]@de.pwc.com
xxx

Auf Wunsch löschen wir natürlich auch Ihre Daten in der Datenbank. Bitte teilen Sie uns dazu zum Zwecke der vollständigen Identifizierung Ihrer Person Ihren Namen und das Geburtsdatum mit, um Verwechslungen auszuschließen. Wenn Sie eine Bestätigung der Löschung erhalten möchten, benötigen wir auch Ihre E-Mail-Adresse. Gerne schicken wir Ihnen auch die Bestätigung der Löschung per Fax oder per Post zu.

Für weitere Fragen steht Ihnen gerne unsere Hotline zur Verfügung. Diese erreichen Sie telefonisch unter [xyz]. Selbstverständlich werden wir Sie über das weitere Vorgehen informieren.

Frank Brebeck Burkhard Schütte
Vorstand Personal Chief Information Officer

„€”“€”“€”“€”“€”“€”“€”“€”“€”“€”“€”“€”“€”“€”“€”“€”“€”“€”“€”“€”“€”“€”“€”

Mag ja sein, dass ich um die Uhrzeit des Lesens nicht mehr richtig mächtig bin, aber ich habe den wichtigen Teil leider nicht gefunden. Der würde etwa wie folgt lauten:

„€œEs tut uns Leid. Wir haben Mist gebaut. Wir haben die Passwörter plaintext gespeichert / speichern lassen, so etwas darf selbstverständlich eigentlich nicht vorkommen. Wir beraten zwar zur IT-Security, aber haben wohl vergessen, bei uns an dieser Stelle die notwendige Aufmerksamkeit walten zu lassen. Wir versichern Ihnen: Es ist uns peinlich. Auch dass die Daten über Jahre gespeichert wurden, ist selbstverständlich als Fehler zu bezeichnen. Da die Daten gestohlen wurden, haben wir Strafanzeige erstattet, was aber nicht davon ablenken soll, dass schwere und schwerste Fehler auf unserer Seite gemacht wurden.“€? Danach meinetwegen das ganze Blabla, was man in die Wege geleitet habe“€¦

Ich weiß nicht, vielleicht bin ich ja etwas penibel – aber ich empfand Pressemitteilung und nunmehr die Kommunikation mit den Betroffenen als absolute Frechheit. Ist es SOOO schwierig, einzugestehen, dass man richtig daneben gehauen hat?

Wie soll das Vertrauen wiedererstehen, wenn es kein ungeschminktes Schuldeingeständnis gibt? Ich hoffe, dass PwC diese Attitüde noch mehr auf die Füße fällt als der Vorfall selbst“€¦ 😐

Über den Autor

Robert Basic

Robert Basic ist Namensgeber und Gründer von BASIC thinking und hat die Seite 2009 abgegeben. Von 2004 bis 2009 hat er über 12.000 Artikel hier veröffentlicht.

12 Kommentare

  • Ich denk mir das wird für PwC außer in Fachkreisen (also bei uns die mit der Materie vertraut sind) niemanden jucken. Nachdem PwC die Schuld für das Dilemma chinesischen Hackern in die Schuhe geschoben hat werden die Opfer das so akzeptieren, weil „was hätten die denn sonst dagegen tun sollen, gegen die bösen Chinesen“. Das das eigentliche Problem die unverschlüsselte Speicherung von Passwörtern ist würden PwC wahrscheinlich damit erklären, das man damit den Leuten einfacher ihr Passwort zuschicken kann für den Fall das sie es vergessen haben. Und schon können sie sich wieder bei den meisten Leuten als Nutzerorientiert aus der Affaire wieseln.

    So groß wird der Aufschrei von Leuten aus der IT Branche (und anderen die Wissen wer eigentlich schuld an der Geschichte ist) nicht sein können das sich die 56.000 Betroffenen da ersthaft Gedanken darüber machen.

  • Ich denke, das Schreiben hat ein Anwalt formuliert, der abwenden will, dass Schadensersatzansprüche geltend gemacht werden.

    Wenn sie schreiben „Wir haben Mist gebaut“, ist eine Lawine an Schadensersatzklagen sicher.

  • Ick weeß nich. PwC wusste, dass die PWs im Klartext gespeichert waren (eben gerade weil es die Reset-Funktion gab). Damit ist grobe Fahrlässigkeit nachgewiesen. Rechtlich wird es eh nicht sehr eng werden, weil entweder gar keine Schäden oder, und daran wird’s im Zweifel haken, keine Schäden entstanden sind, die nachweislich auf diesen Datenklau zurückgehen. Gleiches gilt für die Dauer der Speicherung.

    Ich hoffe, dass der WiSo-Beitrag hier klar Ross & Reiter benennt, gerade nachdem PwC jetzt so heftig als Opfer auftritt.

  • TheOtherOne hat auf Golem ( http://forum.golem.de/read.php?27591,1443518,1444466#msg-1444466 ) dankenswerterweise schnell mal recherchiert, wer denn der ominöse „externe Service-Provider“ ist, der die PwC-Bewerberakte gestrickt hat. Offensichtlich eine kleine Agentur aus Frankfurt a.M. (ihre Eigendarstellung „15 Mitarbeiter“ stammt auf ihrer eigenen Seite von 2005), „High-End communications“ (vgl. dortige Referenz-Angaben mit Link).

    Tja, die dürften so unbekannt sein, dass ihnen das am Ende des Tages niemand zum Vorwurf machen wird – peinlich trotzdem. Die Verantwortung trägt aber weiterhin schon PwC in erster Linie, da – inzwischen habe ich das oft hervorgehoben, ich weiß 😉 – beide Grobfehler (Speicherung PW in Klartext, Länge der Datenspeicherung) mit Wissen bzw. gar Willen von PwC gemacht wurden. Schuld abschieben geht also net… (wer weiß, vielleich hat High-End sogar vor der Speicherung im Klartext gewarnt… aus der Selbstdarstellung: „Unsere Ideen vertreten wir nachhaltig – aber der Kunde hat das Recht, zu entscheiden.“ ;-))

  • Kein uneingeschränktes Schuldeingeständnis wird denke ich bei uns allen nciht nur dazu führen uns nie wieder bei PwC zu bewerben (für alle die das überhaupt jemals interessiert hat), sondern auch grundsätzlich anzuzweifeln wie ein Unternehmen mit Weltruf derart fahrlässig sein konnte. Zumindest bei mir hat diese fahrlässige Aktion dazu geführt grundsätzlich zu hinterfragen, wie bei PwC mit Mandantendaten umgegangen wird. Sind die auch ausgelagert und wird die nächste Schlagzeile lauten: PwC bedauert, dass alle Bilanzen der BAYER AG offen für alle zugänglich sind. Ja zugegeben, das wäre eine neue Form der Transparenz … aber höchst fragwürdig.

  • „Gegenüber heise Security sagte Heinz Wittel von der High-End communications GmbH, dem Datenbankdienstleister von PwC, dass ein Angriff auf die PwC-Datenbank schon im März stattgefunden haben. Allerdings habe man nicht feststellen können, ob Daten manipuliert oder ausgelesen wurden. Daher habe man keine weiteren Maßnahmen ergriffen.“ ( http://www.heise.de/newsticker/Gestohlene-PwC-Datensaetze-fuer-Missbrauch-von-Click-Buy-benutzt–/meldung/115621 [edited by admin: Heise hat sich „korrigiert“, siehe nachfolgenden Kommentar von Heinz Wittel!])

    Ja obercool. Wenn die Daten tatsächlich online geklaut wurden, spricht das ja massiv gegen die Einschätzungskompetenz von „High-End“ („lustiger“ Name in diesem Zusammenhang der peinlichen Anfängerfehler-Pannen). Bliebe die Frage noch offen, ob auch der Dienstleistungskunde = PwC über den Angriff informiert wurde, und ob auch dieser sagt: Ruhige Kugel schieben, mal so tun, als ob nix gewesen wäre…

    Also, in Summe jedenfalls: NOCH ein Versäumnis mehr 🙁

  • STELLUNGNAHME: Die Aussage von heise wurde zurückgenommen.

    Ich möchte an dieser Stelle klarstellen, dass die anfängliche Aussage von heise nicht korrekt war. Ich wurde zwar von dem betreffenden Redakteur angerufen und er hat einige sehr suggestive Fragen gestellt und Unterstellungen geäußert. Die daraufhin erfolgte Veröffentlichung war jedoch völlig falsch. Die Redaktion hat auf unserene Hinweis die Aussage entsprechend gestrichen, wie auf der heise-Seite zu sehen ist.

    Es gibt jedoch einige sehr eifrige Blogger, die sich dieser fehlerhaften Aussage des Redakteuers bedienen.

    Ich bin durchaus ein Befürworter offener Kommunikation, speziell in Blogs. Aber wir sollten doch bei der Wahrheit bleiben, Kollegen.

  • @5
    Also deswegen jetzt ein doch insgesamt äußerst seriöses Unternehmen so in die Mangel zu nehmen halte ich für arg übertrieben. Fehler passieren halt, leider auch sehr dumme. Das ist überall so, wo Menschen fungieren. Wichtig ist, wie man damit umgeht und was man daraus lernt. Und auch wenn die Reaktion wohl nicht perfekt war, so hat man das ganze doch relativ professionell gemanaged und kommuniziert wie ich finde.

    Und nochmal den Fehler wird wohl gerade PwC nicht mehr begehen 😉

    Und btw. für die Bilanzen und alle anderen Teile des Bayer Jahresabschlusses muss niemand etwas hacken, es reicht http://www.bayer.de . Da ist das eh veröffentlicht.

  • @shore: „auch wenn die Reaktion wohl nicht perfekt war“ — „nicht perfekt“? Sorry, es gibt keinerlei Schuldeingeständnis von PwC, obwohl erst durch diese Fehler dieser Gau (in Extensität – Länge der Datenspeicherung, und Intensität – Speicherung von PWs in Klartest) entstehen konnte. Es wird versucht, die Schuld den Usern (hätten ihre Daten ja selbst löschen können) und den „Dieben“ anzulasten.

    „Insgesamt äußerst seriöse Unternehmen“ sollten in der Lage sein, ihre Fehler zu benennen. Nach der erfolgten Reaktion sehe ich gerade /nicht/, dass sich so ein Fehler (oder ein ähnlicher) nicht wiederholen wird. Arroganter als PwC kann man kaum reagieren.

    „Wichtig ist, wie man damit umgeht“ – Exakt. Und der Umgang von PwC hiermit hätte wohl kaum übler ausfallen können. Wie kann man denn schlimmer reagieren als PwC es getan hat?!?!

  • @Heinz Wittel: „€œAber wir sollten doch bei der Wahrheit bleiben, Kollegen.“€? – Das sollte wenn, dann an den Heise-Redakteur gerichtet werden, nicht hier ins Forum gerufen (und an anderen Stellen).

    Im Übrigen läuft die Stellungnahme hier wie der Rest der Verlautbarungen: Bestritten wird alles, aufgeklärt nichts.

    Also: Hat HighEnd Angriffe bemerkt? Wenn ja, wann? Warum wurden keine Maßnahmen ergriffen? War PwC informiert? Wie verhielten die sich?

    Wenn nein: Wie erklärt sich HighEnd den Diebstahl? War simple SQLInjection möglich? Wenn nein, liegt ggf. der Verdacht physischen Zugriffs nahe? Wenn hier ja: Werden die (ex-)Mitarbeiter entsprechend überprüft als Verdächtige durch die Polizei?

    All diese Antworten sind es, die die Betroffenen interessieren. Ein reines „€œStimmt so alles nicht. Der böse Redakteur hat einige sehr suggestive Fragen gestellt und Unterstellungen geäußert.“€? bringt niemanden weiter“€¦ 🙁

  • @Heinz Wittel: Welche anfängliche Aussage war denn nun nicht korrekt? Dass bereits im März ein Angriff auf die Datenbank stattgefunden hat? Oder dass man nach der Attacke keine weitere Massnahmen ergriffen hat?

    Manchmal sehe ich den Wald vor lauter Bäumen nicht mehr…