Donnerstag, 19. September 2019

Datendiebstahl - Kreditkartennummern sind im Netz aufgetaucht Datenskandal bei Mastercard weitet sich aus

Nach Handynummern und Adressen sind jetzt auch unverschlüsselte Kreditkartennummern im Netz aufgetaucht
picture alliance / dpa
Nach Handynummern und Adressen sind jetzt auch unverschlüsselte Kreditkartennummern im Netz aufgetaucht

Das Datenleck bei Mastercard ist offenbar gravierender als gedacht. Nachdem am Montag ein Satz mit Daten wie Handynummern, Adressen und Geburtstagen von knapp 90.000 Kunden des Bonusprogramms Priceless Specials im Netz aufgetaucht war, ist von Unbekannten jetzt auch eine umfassende Liste unverschlüsselter Kreditkartennummern veröffentlicht worden. Die Redaktion von manager-magazin.de konnte die Datei einsehen: Eine Stichprobe ergab, dass es sich um gültige Kreditkartennummern von Mastercard handelt. Ob die jeweiligen Kreditkarten tatsächlich korrekt den knapp 90.000 Nutzern zugeordnet werden können, ist derzeit unklar.

Der Internet-Unternehmer David Schirrmacher ist selbst betroffen. Er hatte manager-magazin.de exklusiven Einblick in die Daten gewährt: Auch er war Kunde bei Priceless Specials und hat seine korrekte Kreditkartennummer in dem Datensatz entdeckt. Versuche, mehrere Sprecher von Mastercard zu erreichen, blieben erfolglos.

Erste Beschwerden bei hessischem Datenschutzbeauftragten

Für Mastercard wächst sich der Datendiebstahl damit zu einem immer größeren Problem aus. Kreditkartennummern sind besonders sensible Informationen. Schließlich reicht bei manchen Online-Händlern schon die Nummer ohne CVC-Prüfziffer, um einzukaufen. Aufgrund der Datenschutzverordnung DSGVO sind personenbezogene Daten und deren Erhebung streng reglementiert. Unternehmen können mit einem Bußgeld von bis zu vier Prozent des Jahresumsatzes belegt werden. Für Schlagzeilen sorgte Anfang Juli, dass die britische Datenschutzbehörde ICO British Airways wegen gestohlener Kundendaten mit einer Strafe von mehr als 183 Millionen Britischen Pfund (knapp 201 Millionen Euro) belegte.

Betroffene können zudem Schadenersatz fordern: Beim hessischen Datenschutzbeauftragten sind bis Mittwoch Morgen 35 Beschwerden eingegangen, sagte eine Sprecherin. Da Mastercard den Deutschland-Sitz in Frankfurt, die Zentrale aber in Belgien hat, hätten sie den Datendiebstahl bei der Wiesbadener Behörde melden können, aber nicht müssen. "Ich gehe davon aus, dass wir den Kontakt zu den belgischen Behörden suchen werden", so die Sprecherin weiter.

Kunden hatten online über Unregelmäßigkeiten geklagt

Bei Mastercard kommt erschwerend hinzu, dass das Unternehmen möglicherweise schon vor Wochen von dem Datenklau hätte wissen können. Der Branchendienst "Finanz-Szene.de" berichtete am Mittwoch, dass das Datenleck offenbar schon seit Wochen unter Kunden ein Thema war. In Online-Foren tauschten sie sich über Unregelmäßigkeiten aus. Sie hatten sich bei Priceless Specials registriert, um von Rabattaktionen von Unternehmen wie Sixt, Tui oder Jochen Schweizer zu profitieren. Dem Bericht zufolge beschwerten sich Nutzer, dass Gutscheine von unbekannten Dritten benutzt worden waren oder ungültig waren. Ab Ende Juni sollen zudem beim Online-Auktionshaus Ebay sowie auf anderen Plattformen zunächst eine Vielzahl (nicht personalisierter) Prämien-Gutscheine aufgetaucht sein. Diese seien mit einem kräftigen Abschlag auf ihren Nennwert zum Kauf angeboten worden, hieß es weiter.

Mastercard sieht Datenleck bei Drittanbieter

Mehrere Nutzer hätten sich daraufhin direkt bei Mastercard beschwert. Am Montag hatte eine Sprecherin gesagt, Mastercard sei "auf ein Problem im Zusammenhang mit unserer Priceless-Specials-Plattform" aufmerksam gemacht worden. "Wir nehmen Privatsphäre sehr ernst und untersuchen dieses Problem mit Hochdruck. Vorsorglich haben wir die Priceless-Specials-Plattform umgehend geschlossen." Dieses Problem habe "keinerlei Auswirkungen" und stehe nicht im Zusammenhang mit dem Zahlungsnetzwerk von Mastercard. Katharina Lawrence von der Verbraucherzentrale Hessen rät allen, die fürchten, dass ihre Kreditkartennummer öffentlich geworden sein könnte, diese vorsorglich zu tauschen. Für sie ist der Fall ein Beweis, dass die strengeren Zahlungsvorgaben der EU, die ab 14. September greifen, notwendig seien.

Mastercard machte am Dienstag einen "Drittanbieter" für das Leck verantwortlich. Zu den ersten Namen, die in dem Datensatz auftauchen, zählen Mitarbeiter einer Agentur, die IT-Lösungen anbietet und die Datei programmiert haben könnte. Der Versuch, diese zu erreichen, blieb bislang erfolglos.

Für Unternehmen, die Zugriff auf Kreditkartennummern haben, gelten besonders strenge Sicherheitsvorgaben. Diese sind im sogenannten Payment Card Industry Data Security Standard (üblicherweise PCI oder PCI-DSS abgekürzt) geregelt. In einer rechtlich sauberen Transaktion wäre beispielsweise bei Online-Käufen ein zertifizierter Dienstleister dazwischen geschaltet: Der Einzelhändler oder der Webshop hätte keinen Zugriff auf die Kreditkartennummer. Wenn Dienstleister wie eine IT-Agentur im Auftrag eines Kreditkartenanbieters Software entwickeln, müssten auch hier besonders strenge Sicherheitsvorkehrungen gelten.

© manager magazin 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung