News Namen und Adressen: Dell informiert über Abfluss von 49 Millionen Kundendaten
- Ersteller nlr
- Erstellt am
- Zur News: Namen und Adressen: Dell informiert über Abfluss von 49 Millionen Kundendaten
Habe noch keine Mail erhalten, aber wenn die die aktuellen Daten vom Dell-eigenen Shop haben dann müsste ich auch dabei sein.
I
IT-Nadja
Gast
Es liegt nicht daran, dass die Hacker so toll sind und sich gezielt ein Unternehmen aussuchen, sondern dass die Unternehmen an der IT sparen und sich somit eine klaffende Lücke ausbreitet, bis irgendwann selbst der letzte Anfänger Hacker die Daten besorgen kann.iron_monkey schrieb:
Durch meine Berufserfahrung, durch Kollegen und verschiedenen Menschen in der IT habe ich gelernt, dass unsere Daten viel unsicherer sind, als es die Unternehmen verkaufen wollen.
Und nahezu alle Unternehmen haben eines gemeinsam: Man spart an der Infrastruktur, Fachleuten, Weiterbildungen und Datenschutz an jeder möglichen Stelle. Die IT wird als reiner Kostenfaktor angesehen.
Selbst Unternehmen mit einem hohen Anteil an (Fach-)Informatikern werden durch das Management, welche meistens keinen IT-Hintergrund haben, ignoriert.
Die Politik trägt auch eine große Schuld daran, denn die Konsequenzen gehen gegen null.
Wenn man nicht nachweislich mit Vorsatz oder grober Fahrlässigkeit handelt, passiert NIE etwas. Vorsatz und grobe Fahrlässigkeit sind aber so schwer zu beweisen, dass tatsächlich nahezu nie etwas passiert.
Die pauschale Aussage, dass es irgendwelche Hacker waren, reicht in den meisten Fällen.
Dass man es diesen Hackern aber nahezu auf dem Silbertablett serviert, wird ignoriert.
Ist halt völlig illusorisch. 100% Sicherheit kann man in der IT nicht gewährleisten (und auch sonst nirgends im Leben). Worauf man bestehen kann ist, dass die Daten nach aktuellem Stand der Technik gesichert sind. Wenn Dell das getan hat sind sie letztendlich Opfer einer Straftat geworden (auch wenn der Schaden dann eher bei den Kunden liegt).Mr Tee schrieb:
Nicht, dass ich einfach so davon ausgehen würde.
Tevur
Lieutenant
- Registriert
- Dez. 2020
- Beiträge
- 749
Nein.Miuwa schrieb:
Worauf man (bzw. der Gesetzgeber) bestehen kann, ist, dass die Daten entweder gar nicht erst irgendwo gespeichert oder nach Vertragserfüllung sicher gelöscht werden.
Wenn die Firmen sich schon aus der Strafverfolgung mit Bullshit alla "Hackerangriffe sind wie Naturereignisse, da gibt's keine 100% Sicherheit" rausreden, da muss man klar nachschärfen und sagen: "Nee, egal was der Wetterbericht gesagt hat, wenn du dein Zeug im Garten liegen lässt, wird es irgendwann nass."
Blumentopf1989
Commander
- Registriert
- Okt. 2010
- Beiträge
- 2.635
Naja immerhin informieren sie darüber (notgedrungen). Meine Daten sind auch schon im Netz gelandet, habe ich u.a. durch einen erfolgreichen hack, als auch durch einen Hinweis bei einem Händler angezeigt bekommen.
Ich frage mich wie solche Weltkonzerne immer wieder die Daten "verlieren" und damit ungeschoren davon kommen.
Ich frage mich wie solche Weltkonzerne immer wieder die Daten "verlieren" und damit ungeschoren davon kommen.
M
micha`
Gast
@nlr
Wollt ihr die Daten aus den Screenshots nicht etwas mehr verfremden? Ich mein klar, die Katze ist schon aus dem Sack - aber trotzdem. Am Beispiel des deutschen Betroffenen: Die Stadt ist vollständig genannt, dass es sich beim Straßennamen um die polnische Physikerin handelt errät quasi jeder, die Hausnummer ist auch dabei und den Namen errät man allerspätestens vor der Tür.
Grüße
Wollt ihr die Daten aus den Screenshots nicht etwas mehr verfremden? Ich mein klar, die Katze ist schon aus dem Sack - aber trotzdem. Am Beispiel des deutschen Betroffenen: Die Stadt ist vollständig genannt, dass es sich beim Straßennamen um die polnische Physikerin handelt errät quasi jeder, die Hausnummer ist auch dabei und den Namen errät man allerspätestens vor der Tür.
Grüße
pitu
Admiral
- Registriert
- Dez. 2005
- Beiträge
- 9.610
Kosten für den Steuerzahler sind trotzdem entstanden!Frader schrieb:
Wieso sind die Täter unbekannt?
Vielleicht sollten unsere Gesetzte geändert werden damit sowas nicht sein kann. Auch wenn es bedeuten würde eine Internet-Stasi aufbauen zu müssen.
Ergänzung ()
Unsere Bundeswehr wurde übrigens auch gehackt 😁Blumentopf1989 schrieb:
Hagen_67
Captain
- Registriert
- Sep. 2009
- Beiträge
- 3.785
Aaaaah jaaa, und wer bestimmt das? Ich fahr morgen jemanden in die Karre, drücke ihm ein "Sorry" hin und nen 10er und sage: !Is ja nich so schlimm!". Jupp, genauso funktioniert das. Was, ich bin kein großer Konzern? Dann geht das nicht?
In D ist es doch so, das der Geschädigte auf Kosten des Verursachers einen Sachverständigen bestimmen kann, der die Höhe des Schadens feststellt. Jetzt kommt es nur darauf an, welches REcht anzuwenden ist, wenn ich ein Produkt in D gekauft und registriert habe.
90% Der Leute wollen vermutlich gerade nicht, dass sie in dem Onlineshop ihren Namen und Adresse jedesmal neu angeben müssen.Tevur schrieb:
Wenn du willst, dass deine Daten gelöscht werden sollte das mit Löschen des Kundenkontos möglich sein. Auch wenn ich mir vorstellen könnte, dass der Händler berechtigt ist die Daten bis zum Ende der Gewährleistung/Garantiezeit vorzuhalten.
So oder so geht aus der News bzw. Email geht nicht hervor, dass es auch gelöschte Accounts getroffen hat. War das bei dir der Fall?
Früher wurde sich entschuldigt, dass man die Daten nicht ausreichend sichern konnte, wenn so etwas passiert ist. Man war entsetzt, dass die persönlichen Daten der Kunden so einfach entwendet werden konnten, weil Karl Hugo sie in Klarschrift in einer Excel-Datei auf einem öffentlichen Server liegen gelassen hatte.
Inzwischen wird nur noch informiert, dass endlich passiert sei, wovor die IT-Abteilung schon seit Jahren warnte. So richtig interessiert es aber nicht, da es Umsatz und Gewinn nicht betrifft.
Inzwischen wird nur noch informiert, dass endlich passiert sei, wovor die IT-Abteilung schon seit Jahren warnte. So richtig interessiert es aber nicht, da es Umsatz und Gewinn nicht betrifft.
Slim.Shady
Cadet 4th Year
- Registriert
- Dez. 2022
- Beiträge
- 107
Er ist sogar dazu verpflichtet, diese zu speichern.Miuwa schrieb:
§ 147 AO
(1) Die folgenden Unterlagen sind geordnet aufzubewahren:
4. Buchungsbelege,
§ 238 HGB
(1) Jeder Kaufmann ist verpflichtet, Bücher zu führen und in diesen seine Handelsgeschäfte und die Lage seines Vermögens nach den Grundsätzen ordnungsmäßiger Buchführung ersichtlich zu machen. Die Buchführung muß so beschaffen sein, daß sie einem sachverständigen Dritten innerhalb angemessener Zeit einen Überblick über die Geschäftsvorfälle und über die Lage des Unternehmens vermitteln kann. Die Geschäftsvorfälle müssen sich in ihrer Entstehung und Abwicklung verfolgen lassen.
§ 257 HGB
(1) Jeder Kaufmann ist verpflichtet, die folgenden Unterlagen geordnet aufzubewahren:
4. Belege für Buchungen in den von ihm nach § 238 Abs. 1 zu führenden Büchern (Buchungsbelege).
§ 14b UStG
(1) Der Unternehmer hat ein Doppel der Rechnung, die er selbst oder ein Dritter in seinem Namen und für seine Rechnung ausgestellt hat, sowie alle Rechnungen, die er erhalten oder die ein Leistungsempfänger oder in dessen Namen und für dessen Rechnung ein Dritter ausgestellt hat, zehn Jahre aufzubewahren.
Voodoo_Freak
Lieutenant
- Registriert
- Aug. 2005
- Beiträge
- 929
Bei solchen Meldungen denk ich mir dann immer: Man gut das ich als Kunde mir die Mühe mache und Passwörter regelmäßig ändere.
Ist halt sinnlos wenn die Bude die jeweils dahinter steht einen Dreck darauf gibt MEINE Daten zu schützen.
Ist halt sinnlos wenn die Bude die jeweils dahinter steht einen Dreck darauf gibt MEINE Daten zu schützen.
chillipepper
Lt. Junior Grade
- Registriert
- Dez. 2022
- Beiträge
- 292
Und auch Microsofts Kern Virtualisierung wird das nicht ändern, IT ist und bleibt unsicher.
Eigentlich werden im Wesentlichen nur die Geräte verlangsamt und darüber hinaus wird es zu einer weltweiten Verschrottungsaktion guter Hardware führen, aufgrund dieser überzogenen Performance Anforderung speziell dafür. Dafür müsste man Microsoft jeden Tag in jedem Magazin "abbashen" für so einen Unsinn und solche eine Resourcenverschwendung.
Tja, und ich wünsche allen Kunden weiterhin viel Spaß mit Cloud Services, die ja auch alle so sicher sind.
Happy savings .. Rufschädigung und Verlust von intellectual property kostet ja nix, nicht wahr?!
Dafür gabs anscheinend keinen Kurs im Bereich Betriebswirtschafts- und Informatik Studium.
Ist mir ein Rätsel, wie alle Kunden immer noch so darauf abfahren ...
Tja Geld regiert anscheinend immer noch die Welt, obwohl das alles sehr kurzfristig gedacht ist.
Alleine schon wie komplex die Kommunikationsbeziehungen und Fehlerbilder werden, wenn man Azure, zScaler, VPN und alles Mögliche verwendet. Die meisten Firmen kommen dann beim Troubleshooten ganz schön ins Schwitzen.
Eigentlich werden im Wesentlichen nur die Geräte verlangsamt und darüber hinaus wird es zu einer weltweiten Verschrottungsaktion guter Hardware führen, aufgrund dieser überzogenen Performance Anforderung speziell dafür. Dafür müsste man Microsoft jeden Tag in jedem Magazin "abbashen" für so einen Unsinn und solche eine Resourcenverschwendung.
Tja, und ich wünsche allen Kunden weiterhin viel Spaß mit Cloud Services, die ja auch alle so sicher sind.
Happy savings .. Rufschädigung und Verlust von intellectual property kostet ja nix, nicht wahr?!
Dafür gabs anscheinend keinen Kurs im Bereich Betriebswirtschafts- und Informatik Studium.
Ist mir ein Rätsel, wie alle Kunden immer noch so darauf abfahren ...
Tja Geld regiert anscheinend immer noch die Welt, obwohl das alles sehr kurzfristig gedacht ist.
Alleine schon wie komplex die Kommunikationsbeziehungen und Fehlerbilder werden, wenn man Azure, zScaler, VPN und alles Mögliche verwendet. Die meisten Firmen kommen dann beim Troubleshooten ganz schön ins Schwitzen.
MaverickM
20k Fleet Admiral
- Registriert
- Juni 2001
- Beiträge
- 23.695
iron_monkey schrieb:
Hier wird kein Ransom verlangt, sondern man bietet die Daten selbst zum Verkauf an. Die sind schon einiges wert.
Nur mal zum Vergleich: Eine frei zugängliche und legal erhältliche kuratierte (Also aktuelle Adresse mit allen zugehörigen Informationen, die relevant für dein Unternehmen/Werbezweck sind) wird für rund 1€+/- pro Adresse gehandelt. Das hier sind 45 Millionen Kundendaten mit exakter Angabe des verkauften Produkts.
Ja, damit lässt sich gut Geld verdienen.
HighTech-Freak
Rear Admiral
- Registriert
- Juli 2005
- Beiträge
- 5.121
Dass ein ERP System gehackt wird, wird immer wieder passieren... das liegt ein klein wenig in der Natur der Sache... ein System, auf das eben alles andere zugreift ist per se stark exponiert.
Und wie sich manche das hier vorstellen mit Datenlöschung zeugt lediglich von Unwissen... wie dankenswerterweise bereits von @Slim.Shady ausgeführt müssen Daten leider zT ewig aufbehalten werden... (7+ Jahre ist in dem Kontext ewig)
Verschlüsselung ist hier nur beschränkt machbar (ähnlich komplex wie Datenbankverschlüsselung) -und nein, damit meine ich nicht data-at-rest Verschlüsselung. Bitlocker oder ähnliches ist hier gänzlich wertlos.
Eine Verschlüsselung für sowas ist extrem aufwendig in der Implementation und die Entschlüsselung muss für mehrere Parteien möglich sein (Buchhaltung, Kunde, Support,...). Last but not least, ist so ein vollverschlüsseltes System -wenn richtig implementiert- nicht mal eben resetbar. Nimmt man das PW des Kunden als Schlüssel für den Private-Key, ist ein PW Reset nicht mal eben möglich. Mit einer universellen PW Reset Logik wäre das System ja erst wieder leicht angreifbar.
Verliert eine Partei, die Zugriff auf alle Daten hat, ihren Private-Key sind alle assozierten Daten auch wieder in Masse abgreifbar. D.h. konsequenterweise müsste man erst am Ende entschlüsseln zB per Browser Modul und SmartCard oder ähnlichem Hardware Geräte wo der Private Key nicht so leicht entwendet werden kann.
So oder so werden PDF Rechnungen und dgl. whs immer "relativ unverschlüsselt" auf irgendwelchen Servern oder in Archiven liegen...
Einen 100%igen Schutz gibt's nicht und ERP Systeme und dgl. werden nicht von heute auf morgen grundlegen umgekrempelt um Verschlüsselung zu implementieren. Das passiert so in der echten Welt nicht...
Optimistisch betrachtet wirds vlt. in 10 Jahren erste vollverschlüsselte Lösungen geben...
In der Zwischenzeiten kann man vlt. mit "intelligenten Firewalls" zwischen Front-End und Back-End arbeiten, die fragwürdige Aktivität automatisch flaggen/sperren und/oder dynamischem Access Control Lists oder Security Clearance Levels, aber das sind eher work-arounds, die das Problem kaschieren, aber nicht grundsätzlich lösen...
Und wie sich manche das hier vorstellen mit Datenlöschung zeugt lediglich von Unwissen... wie dankenswerterweise bereits von @Slim.Shady ausgeführt müssen Daten leider zT ewig aufbehalten werden... (7+ Jahre ist in dem Kontext ewig)
Verschlüsselung ist hier nur beschränkt machbar (ähnlich komplex wie Datenbankverschlüsselung) -und nein, damit meine ich nicht data-at-rest Verschlüsselung. Bitlocker oder ähnliches ist hier gänzlich wertlos.
Eine Verschlüsselung für sowas ist extrem aufwendig in der Implementation und die Entschlüsselung muss für mehrere Parteien möglich sein (Buchhaltung, Kunde, Support,...). Last but not least, ist so ein vollverschlüsseltes System -wenn richtig implementiert- nicht mal eben resetbar. Nimmt man das PW des Kunden als Schlüssel für den Private-Key, ist ein PW Reset nicht mal eben möglich. Mit einer universellen PW Reset Logik wäre das System ja erst wieder leicht angreifbar.
Verliert eine Partei, die Zugriff auf alle Daten hat, ihren Private-Key sind alle assozierten Daten auch wieder in Masse abgreifbar. D.h. konsequenterweise müsste man erst am Ende entschlüsseln zB per Browser Modul und SmartCard oder ähnlichem Hardware Geräte wo der Private Key nicht so leicht entwendet werden kann.
So oder so werden PDF Rechnungen und dgl. whs immer "relativ unverschlüsselt" auf irgendwelchen Servern oder in Archiven liegen...
Einen 100%igen Schutz gibt's nicht und ERP Systeme und dgl. werden nicht von heute auf morgen grundlegen umgekrempelt um Verschlüsselung zu implementieren. Das passiert so in der echten Welt nicht...
Optimistisch betrachtet wirds vlt. in 10 Jahren erste vollverschlüsselte Lösungen geben...
In der Zwischenzeiten kann man vlt. mit "intelligenten Firewalls" zwischen Front-End und Back-End arbeiten, die fragwürdige Aktivität automatisch flaggen/sperren und/oder dynamischem Access Control Lists oder Security Clearance Levels, aber das sind eher work-arounds, die das Problem kaschieren, aber nicht grundsätzlich lösen...
Zuletzt bearbeitet:
Ähnliche Themen
- Angepinnt
- Artikel
