Kein Einzelfall

Obi ignoriert schwere Sicherheitslücken im Online-Shop

8. Dezember 2022, 8:19 Uhr | Martin Fryba
AdobeStock/Wernerimages
© AdobeStock/Wernerimages

Herablassend wird Jean Pereira behandelt, wenn er Firmen auf schwerste IT-Sicherheitslücken hinweist. So wie bei Obi, wo nun die Datenschutzbehörde ermittelt. Nicht besser geht es dem Etical Hacker in den Stadtverwaltungen Köln und München.

Seit drei Monaten versucht der IT-Sicherheitsexperte Jean Pereira Obi auf eine „hochkritische Sicherheitslücke“ im Online-Shop hinzuweisen. Doch er blitzt ab. „Bei Obi arbeiten hunderte Leute, die angeblich etwas mit Cyber-Security machen. Einige davon haben auch mein Profil besucht nach dem Hinweis, dass es eine Sicherheitslücke gibt. Ein weiteres Lebenszeichen gab es nicht“, berichtet er in einem Eintrag auf Linkedin. Pereira nennt sich Etical Hacker und gibt seine Entdeckungen ehrenamtlich an betroffene Unternehmen weiter, wie er auf Linkedin berichtet.

Im Fall Obi, wo man derzeit alle internen Kundendaten und Passwörter auslesen und den kompletten Online-Shop unter Kontrolle bringen könne, wie Pereira bekannt macht, hätten sich dann doch „wenige Mitarbeiter“ der Sache angenommen, aber sie weigerten sich, ihre Vorgesetzten zu informieren. „Sie reagieren mit unverschämten und herablassenden Nachrichten an mich“, berichtet er. Die Lage indes spitzt sich zu, denn nun bekommt Obi Ärger mit dem Gesetz. Die zuständige Datenschutzbehörde ermittelt nämlich im Fall der Baumarktkette, berichtete die Wirtschaftswoche gestern.

Auch Köln und München regieren nicht
So geht es Jean Pereira jedes Mal, wenn er Schwachstellen in der IT entdeckt und  Verantwortlichen kontaktiert. Auf geballte Ignoranz trifft er vor allem bei Stadtverwaltungen. „Die meisten haben bis heute nie geantwortet, einschließlich Stadtverwaltungen, welche bereits mehrfach gehackt wurden“, sagt er. Und er hat ein aktuelles Beispiel parat. Bei der Stadtverwaltung Köln könne man alle internen Daten auslesen. Der Stadtverwaltung München habe er sogar einen detaillierten Bericht einschließlich technischer Lösungsbeschreibungen ehrenamtlich zur Verfügung gestellt. „Lücke bis heute nicht behoben, man kann die komplette Stadtverwaltung unter Kontrolle bringen und alle internen Daten auslesen“.

Sein Fazit ist ernüchternd. Die Ignoranz der für die IT-Sicherheit Zuständigen, ganz konkreten Hinweisen nicht nachzugehen, sei der Grund, warum es täglich erfolgreiche Hackerangriffe gäbe. Die Positionen seien „absolut fehlbesetzt“, so Jean Pereira. „Hier fehlt es massiv an Bildung, und hier fehlen sinnvolle Gesetze, die verantwortungslosem Handeln entgegenwirken“.


Verwandte Artikel

WEKA FACHMEDIEN

Managed Services

Matchmaker+