News Namen und Adressen: Dell informiert über Abfluss von 49 Millionen Kundendaten

Spannend, aber ich hab ja keinen PC von Dell mehr...Blick wandert zum unteren Monitorrand...Mist. :freak: Habe noch keine Mail erhalten, aber wenn die die aktuellen Daten vom Dell-eigenen Shop haben dann müsste ich auch dabei sein.
 
iron_monkey schrieb:
Die Hacker sind auch irgendwie alle leicht doof, statt die Kundendaten zu klauen, die den Unternehmen eh nichts wert sind, sollten die einfach die Top20 Manager hacken... gibts sicherlich viel mehr Geld und die Gefahr das die Manager zur Polizei rennen ist viel geringer.
Es liegt nicht daran, dass die Hacker so toll sind und sich gezielt ein Unternehmen aussuchen, sondern dass die Unternehmen an der IT sparen und sich somit eine klaffende Lücke ausbreitet, bis irgendwann selbst der letzte Anfänger Hacker die Daten besorgen kann.

Durch meine Berufserfahrung, durch Kollegen und verschiedenen Menschen in der IT habe ich gelernt, dass unsere Daten viel unsicherer sind, als es die Unternehmen verkaufen wollen.
Und nahezu alle Unternehmen haben eines gemeinsam: Man spart an der Infrastruktur, Fachleuten, Weiterbildungen und Datenschutz an jeder möglichen Stelle. Die IT wird als reiner Kostenfaktor angesehen.
Selbst Unternehmen mit einem hohen Anteil an (Fach-)Informatikern werden durch das Management, welche meistens keinen IT-Hintergrund haben, ignoriert.

Die Politik trägt auch eine große Schuld daran, denn die Konsequenzen gehen gegen null.
Wenn man nicht nachweislich mit Vorsatz oder grober Fahrlässigkeit handelt, passiert NIE etwas. Vorsatz und grobe Fahrlässigkeit sind aber so schwer zu beweisen, dass tatsächlich nahezu nie etwas passiert.

Die pauschale Aussage, dass es irgendwelche Hacker waren, reicht in den meisten Fällen.
Dass man es diesen Hackern aber nahezu auf dem Silbertablett serviert, wird ignoriert.
 
  • Gefällt mir
Reaktionen: iron_monkey, Cruentatus, Beatmaster A.C. und 2 andere
Mr Tee schrieb:
Das ist mir völlig egal wie das gesichert wurde oder eben nicht. Für mich zählt allein der Fakt, dass meine Daten jetzt veröffentlicht wurden.
Das darf einfach nicht passieren!
Ist halt völlig illusorisch. 100% Sicherheit kann man in der IT nicht gewährleisten (und auch sonst nirgends im Leben). Worauf man bestehen kann ist, dass die Daten nach aktuellem Stand der Technik gesichert sind. Wenn Dell das getan hat sind sie letztendlich Opfer einer Straftat geworden (auch wenn der Schaden dann eher bei den Kunden liegt).

Nicht, dass ich einfach so davon ausgehen würde.
 
  • Gefällt mir
Reaktionen: Haplo, SheepShaver und Gsonz
Nichteinmal eine Entschuldigung haben sie in die Mail gepackt.. armselig.

Jetzt das 4. oder 5. mal das Firmen meine Daten an Hacker verteilen - Klasse.
 
Miuwa schrieb:
Worauf man bestehen kann ist, dass die Daten nach aktuellem Stand der Technik gesichert sind.
Nein.
Worauf man (bzw. der Gesetzgeber) bestehen kann, ist, dass die Daten entweder gar nicht erst irgendwo gespeichert oder nach Vertragserfüllung sicher gelöscht werden.

Wenn die Firmen sich schon aus der Strafverfolgung mit Bullshit alla "Hackerangriffe sind wie Naturereignisse, da gibt's keine 100% Sicherheit" rausreden, da muss man klar nachschärfen und sagen: "Nee, egal was der Wetterbericht gesagt hat, wenn du dein Zeug im Garten liegen lässt, wird es irgendwann nass."
 
  • Gefällt mir
Reaktionen: DNS81
Naja immerhin informieren sie darüber (notgedrungen). Meine Daten sind auch schon im Netz gelandet, habe ich u.a. durch einen erfolgreichen hack, als auch durch einen Hinweis bei einem Händler angezeigt bekommen.

Ich frage mich wie solche Weltkonzerne immer wieder die Daten "verlieren" und damit ungeschoren davon kommen.
 
@nlr
Wollt ihr die Daten aus den Screenshots nicht etwas mehr verfremden? Ich mein klar, die Katze ist schon aus dem Sack - aber trotzdem. Am Beispiel des deutschen Betroffenen: Die Stadt ist vollständig genannt, dass es sich beim Straßennamen um die polnische Physikerin handelt errät quasi jeder, die Hausnummer ist auch dabei und den Namen errät man allerspätestens vor der Tür.

Grüße
 
  • Gefällt mir
Reaktionen: FLCL
Frader schrieb:
Wenige Wochen später ein Brief von der Staatsanwaltschaft.
"Verfahren gegen Unbekannt eingestellt!"
Die ermitteln da noch nicht mal weil ja kein Schaden entstanden ist.>
Kosten für den Steuerzahler sind trotzdem entstanden!

Wieso sind die Täter unbekannt?

Vielleicht sollten unsere Gesetzte geändert werden damit sowas nicht sein kann. Auch wenn es bedeuten würde eine Internet-Stasi aufbauen zu müssen.
Ergänzung ()

Blumentopf1989 schrieb:
Ich frage mich wie solche Weltkonzerne immer wieder die Daten "verlieren" und damit ungeschoren davon kommen.
Unsere Bundeswehr wurde übrigens auch gehackt 😁
 
... Dell wiederum erklärt, dass angesichts der Art der Daten „kein erhebliches Risiko“ für die Kunden bestehe. Übersetzt: Es besteht ein Risiko, es sei angeblich aber nicht erheblich. ...
Aaaaah jaaa, und wer bestimmt das? Ich fahr morgen jemanden in die Karre, drücke ihm ein "Sorry" hin und nen 10er und sage: !Is ja nich so schlimm!". Jupp, genauso funktioniert das. Was, ich bin kein großer Konzern? Dann geht das nicht? :o

In D ist es doch so, das der Geschädigte auf Kosten des Verursachers einen Sachverständigen bestimmen kann, der die Höhe des Schadens feststellt. Jetzt kommt es nur darauf an, welches REcht anzuwenden ist, wenn ich ein Produkt in D gekauft und registriert habe.
 
Tevur schrieb:
Nein.
Worauf man (bzw. der Gesetzgeber) bestehen kann, ist, dass die Daten entweder gar nicht erst irgendwo gespeichert oder nach Vertragserfüllung sicher gelöscht werden.
90% Der Leute wollen vermutlich gerade nicht, dass sie in dem Onlineshop ihren Namen und Adresse jedesmal neu angeben müssen.

Wenn du willst, dass deine Daten gelöscht werden sollte das mit Löschen des Kundenkontos möglich sein. Auch wenn ich mir vorstellen könnte, dass der Händler berechtigt ist die Daten bis zum Ende der Gewährleistung/Garantiezeit vorzuhalten.

So oder so geht aus der News bzw. Email geht nicht hervor, dass es auch gelöschte Accounts getroffen hat. War das bei dir der Fall?
 
Früher wurde sich entschuldigt, dass man die Daten nicht ausreichend sichern konnte, wenn so etwas passiert ist. Man war entsetzt, dass die persönlichen Daten der Kunden so einfach entwendet werden konnten, weil Karl Hugo sie in Klarschrift in einer Excel-Datei auf einem öffentlichen Server liegen gelassen hatte.

Inzwischen wird nur noch informiert, dass endlich passiert sei, wovor die IT-Abteilung schon seit Jahren warnte. So richtig interessiert es aber nicht, da es Umsatz und Gewinn nicht betrifft.
 
  • Gefällt mir
Reaktionen: Qyxes und Miuwa
Miuwa schrieb:
dass der Händler berechtigt ist die Daten bis zum Ende der Gewährleistung/Garantiezeit vorzuhalten.
Er ist sogar dazu verpflichtet, diese zu speichern.

§ 147 AO
(1) Die folgenden Unterlagen sind geordnet aufzubewahren:
4. Buchungsbelege,

§ 238 HGB
(1) Jeder Kaufmann ist verpflichtet, Bücher zu führen und in diesen seine Handelsgeschäfte und die Lage seines Vermögens nach den Grundsätzen ordnungsmäßiger Buchführung ersichtlich zu machen. Die Buchführung muß so beschaffen sein, daß sie einem sachverständigen Dritten innerhalb angemessener Zeit einen Überblick über die Geschäftsvorfälle und über die Lage des Unternehmens vermitteln kann. Die Geschäftsvorfälle müssen sich in ihrer Entstehung und Abwicklung verfolgen lassen.

§ 257 HGB
(1) Jeder Kaufmann ist verpflichtet, die folgenden Unterlagen geordnet aufzubewahren:
4. Belege für Buchungen in den von ihm nach § 238 Abs. 1 zu führenden Büchern (Buchungsbelege).

§ 14b UStG
(1) Der Unternehmer hat ein Doppel der Rechnung, die er selbst oder ein Dritter in seinem Namen und für seine Rechnung ausgestellt hat, sowie alle Rechnungen, die er erhalten oder die ein Leistungsempfänger oder in dessen Namen und für dessen Rechnung ein Dritter ausgestellt hat, zehn Jahre aufzubewahren.
 
  • Gefällt mir
Reaktionen: HighTech-Freak und Miuwa
pitu schrieb:
Wie stehen die Chancen auf Erfolg bei einer Klage gegen Dell?
Ziemlich gut würde ich sagen. So ein Datensatz hat einen Wert, und den sollte jeder Betroffene mindestens bekommen. Bei 49 Mio läppert sich das.
 
  • Gefällt mir
Reaktionen: Voodoo_Freak, angband1 und pitu
Moep89 schrieb:
Sowas darf einfach nicht passieren. ALLE Daten von Personen sollten geschützt und nicht zugänglich sein. Außer natürlich über ganz klar definierte und geschützte Kanäle zur vorgesehenen Nutzung.
Hier dürfte der Gesetzgeber gerne mal richtig nachschärfen und beispielsweise generelle Verschlüsselung aller Kundendaten vorschreiben. Bei der Verarbeitung dann Ende-zu-Ende-Verschlüsselung mit eigenen Schlüsseln mindestens für jeden Datensatz, wenn nicht jedes einzelne Item. Bei korrekter Umsetzung würden solche Meldungen wie diese hier dann der Vergangenheit angehören. Die Hacker hätten höchstens einen gewaltigen Berg Datenmüll erbeutet.
Man diskutiert auf EU- und nationaler Ebene ja leider eher ein Verschlüsselungsverbot...
 
Wo wird ein Verschlüsselungsverbot von Kundendaten diskutiert? Hast Du da eine Quelle?
 
  • Gefällt mir
Reaktionen: Miuwa
Bei solchen Meldungen denk ich mir dann immer: Man gut das ich als Kunde mir die Mühe mache und Passwörter regelmäßig ändere.
Ist halt sinnlos wenn die Bude die jeweils dahinter steht einen Dreck darauf gibt MEINE Daten zu schützen.
 
Und auch Microsofts Kern Virtualisierung wird das nicht ändern, IT ist und bleibt unsicher.

Eigentlich werden im Wesentlichen nur die Geräte verlangsamt und darüber hinaus wird es zu einer weltweiten Verschrottungsaktion guter Hardware führen, aufgrund dieser überzogenen Performance Anforderung speziell dafür. Dafür müsste man Microsoft jeden Tag in jedem Magazin "abbashen" für so einen Unsinn und solche eine Resourcenverschwendung.

Tja, und ich wünsche allen Kunden weiterhin viel Spaß mit Cloud Services, die ja auch alle so sicher sind.

Happy savings .. Rufschädigung und Verlust von intellectual property kostet ja nix, nicht wahr?!
Dafür gabs anscheinend keinen Kurs im Bereich Betriebswirtschafts- und Informatik Studium.

Ist mir ein Rätsel, wie alle Kunden immer noch so darauf abfahren ...
Tja Geld regiert anscheinend immer noch die Welt, obwohl das alles sehr kurzfristig gedacht ist.

Alleine schon wie komplex die Kommunikationsbeziehungen und Fehlerbilder werden, wenn man Azure, zScaler, VPN und alles Mögliche verwendet. Die meisten Firmen kommen dann beim Troubleshooten ganz schön ins Schwitzen.
 
iron_monkey schrieb:
Die Hacker sind auch irgendwie alle leicht doof, statt die Kundendaten zu klauen, die den Unternehmen eh nichts wert sind

Hier wird kein Ransom verlangt, sondern man bietet die Daten selbst zum Verkauf an. Die sind schon einiges wert.

Nur mal zum Vergleich: Eine frei zugängliche und legal erhältliche kuratierte (Also aktuelle Adresse mit allen zugehörigen Informationen, die relevant für dein Unternehmen/Werbezweck sind) wird für rund 1€+/- pro Adresse gehandelt. Das hier sind 45 Millionen Kundendaten mit exakter Angabe des verkauften Produkts.

Ja, damit lässt sich gut Geld verdienen.
 
Dass ein ERP System gehackt wird, wird immer wieder passieren... das liegt ein klein wenig in der Natur der Sache... ein System, auf das eben alles andere zugreift ist per se stark exponiert.

Und wie sich manche das hier vorstellen mit Datenlöschung zeugt lediglich von Unwissen... wie dankenswerterweise bereits von @Slim.Shady ausgeführt müssen Daten leider zT ewig aufbehalten werden... (7+ Jahre ist in dem Kontext ewig)

Verschlüsselung ist hier nur beschränkt machbar (ähnlich komplex wie Datenbankverschlüsselung) -und nein, damit meine ich nicht data-at-rest Verschlüsselung. Bitlocker oder ähnliches ist hier gänzlich wertlos.
Eine Verschlüsselung für sowas ist extrem aufwendig in der Implementation und die Entschlüsselung muss für mehrere Parteien möglich sein (Buchhaltung, Kunde, Support,...). Last but not least, ist so ein vollverschlüsseltes System -wenn richtig implementiert- nicht mal eben resetbar. Nimmt man das PW des Kunden als Schlüssel für den Private-Key, ist ein PW Reset nicht mal eben möglich. Mit einer universellen PW Reset Logik wäre das System ja erst wieder leicht angreifbar.
Verliert eine Partei, die Zugriff auf alle Daten hat, ihren Private-Key sind alle assozierten Daten auch wieder in Masse abgreifbar. D.h. konsequenterweise müsste man erst am Ende entschlüsseln zB per Browser Modul und SmartCard oder ähnlichem Hardware Geräte wo der Private Key nicht so leicht entwendet werden kann.

So oder so werden PDF Rechnungen und dgl. whs immer "relativ unverschlüsselt" auf irgendwelchen Servern oder in Archiven liegen...

Einen 100%igen Schutz gibt's nicht und ERP Systeme und dgl. werden nicht von heute auf morgen grundlegen umgekrempelt um Verschlüsselung zu implementieren. Das passiert so in der echten Welt nicht...

Optimistisch betrachtet wirds vlt. in 10 Jahren erste vollverschlüsselte Lösungen geben...

In der Zwischenzeiten kann man vlt. mit "intelligenten Firewalls" zwischen Front-End und Back-End arbeiten, die fragwürdige Aktivität automatisch flaggen/sperren und/oder dynamischem Access Control Lists oder Security Clearance Levels, aber das sind eher work-arounds, die das Problem kaschieren, aber nicht grundsätzlich lösen...
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Simanova, T-Horsten, Haplo und 3 andere
Wieso speichern die eigentlich Daten über Kunden? Dürfen sie diese länger als 80 Tage aufbewahren?
 
Zurück
Oben