Sind Ihre Daten in unserem Onlineshop sicher?

Durch den Hinweis eines Journalisten sind wir darauf aufmerksam gemacht worden, dass ein Hacker angebliche Kundendaten unseres Onlineshops anbietet. Uns ist wichtig, dies hier offen und transparent zu kommunizieren.

Die Sicherheit der Daten unserer Kundinnen und Kunden hat bei uns höchste Priorität und wir nehmen jeden Hinweis sehr ernst. Deshalb haben wir geprüft, inwieweit Daten von einem Angriff betroffen sein könnten und welche Daten es konkret betreffen könnte.

Grundsätzlich gilt: Unsere Datenbank ist mehrfach abgesichert. Hochsensible Daten wie Passwörter sind nur hochverschlüsselt gespeichert – mit einem Verfahren, das als äußerst sicher gilt. Auf unserer Datenbank werden keinerlei Bank-, Kreditkarten oder andere Kontodaten gespeichert.

Vor rund zwei Wochen ist bei einer Überprüfung eine Sicherheitslücke aufgefallen, die wir danach umgehend geschlossen haben. In Zusammenhang mit dem Hinweis des Journalisten, können wir leider nicht vollständig ausschließen, dass es einem Unbefugten mit krimineller Energie gelungen sein könnte, Daten abzugreifen. Deshalb haben wir beschlossen, Sie hier darüber zu informieren.

Wir haben diesen Vorgang an die zuständige Datenschutzbehörde des Landes Berlin gemeldet und stehen mit dieser im Austausch. Wir beobachten sehr genau, ob es irgendwelche Auffälligkeiten gibt. Dies ist bisher nicht der Fall. Wir behalten das weiterhin sehr genau im Auge.

Unabhängig davon, ob die Daten echt sind oder nicht, wir agieren so, als wären sie es. Wenn die Daten echt sind, dann beinhalten sie Namen und Emailadressen. Wie gesagt: bei uns sind keine Bank-, Kreditkarten- oder Kontodaten gespeichert. Passwörter sind hochverschlüsselt. Zwar behauptet der Hacker, ihm lägen auch unverschlüsselte Passwörter vor. Dies entspricht aber auf keinen Fall der Realität. Sollte er Zugriff auf die Datenbank erhalten haben, dann enthält sie eventuell Fragmente alter Passwörter. Nach einem Angriffsversuch vor mehr als fünf Jahren haben wir alle alten Passwörter deaktiviert – alle Kunden mussten neue Passwörter vergeben, die – wie gesagt – ausschließlich hochverschlüsselt gespeichert werden. Nur von Kunden, die sich seitdem nicht mehr eingeloggt haben, sind Fragmente funktionsunfähiger Passwörter gespeichert – ebenfalls verschlüsselt, allerdings mit einer älteren Technologie. Diese alten Passwörter sind somit nutzlos. Generell gilt aber immer der Hinweis: Verwenden Sie nicht auf verschiedenen Seiten das gleiche Passwort und ändern Sie es regelmäßig.

Unverschlüsselt sind in der möglicherweise betroffenen Datenbank Namen und Emailadressen gespeichert. Mit hohem Aufwand wären damit sogenannte Phishing-Versuche möglich, bei denen versucht werden würde, weitere Daten zu erlangen – indem zum Beispiel eine Email erstellt wird, die den Anschein erweckt, sie käme von uns und mit der weitere Daten abgefragt werden. Deshalb der Hinweis: Wir versenden generell keine Emails, mit denen wir weitere Daten abfragen. Bitte achten Sie darauf, dass Sie bei Links aus Emails oder Newslettern von uns immer auf unsere Seite www.toner-dumping.de geleitet werden und nicht auf eine andere Seite mit einem anderen Namen.

Sollten Sie diesbezüglich irgendwelche Auffälligkeiten bemerken, dann bitten wir Sie um eine Benachrichtigung – gern per Email an unseren Datenschutzbeauftragten: datenschutz (at) toner-dumping.de.

Nochmals: Die Sicherheit der Kundendaten hat bei uns höchste Priorität. Wir bedauern es sehr, wenn es gelungen sein sollte, eine Sicherheitslücke auszunutzen, um aus unserer Kundendatenbank widerrechtlich Daten abzufischen. Wir bitten Sie ausdrücklich um Entschuldigung, sollten dadurch Unannehmlichkeiten entstehen. Wir garantieren Ihnen, dass wir die Angelegenheit sehr ernst nehmen und mögliche Auffälligkeiten genau beobachten und ihnen nachgehen. Wir haben die Sicherheit unserer Datenbank erneut überprüft und tun dies auch weiterhin regelmäßig, auch mit Unterstützung externer, unabhängiger Dienstleister. Sollten weitere Maßnahmen erforderlich sein, werden wir diese ergreifen. Wir stehen im Kontakt mit der zuständigen Datenschutzbehörde des Landes Berlin.

Mit dieser umfassenden transparenten Information möchten wir deutlich machen, dass wir den Vorgang ernst nehmen und um Ihr Vertrauen werben.

Wenn Sie weitere Fragen haben, können Sie sich gerne an uns wenden.