Der nach eigenen Angaben zertifizierte JTL-Servicepartner Modern Solution GmbH & Co. KG hat ein massives Datenleck. Dadurch sind sämtliche Kundendaten einsehbar und Zugriffe auf verschiedene Datenbanken möglich. Telefonisch teilte der Geschäftsführer mit, dass sie zu der Problematik noch nichts mitteilen können.

Was ist technisch passiert?

Bei der Einrichtung der Software wurde eine externe Datenbankverbindung festgestellt. Die Verbindungsanfrage samt Zugangsdaten wurden durch eine Firewall geloggt. Die bei der Datenbankanfrage übermittelten Zugangsdaten führten zu dem Server der Modern Solution GmbH & Co. KG und dort zu verschiedenen Datenbanken. Diese waren unter anderem einsehbar:

Unter den Datenbanken findet sich auch eine JTL-Shop-Installation aus dem Jahre 2017. Genau dort und zwar genau in der Tabelle ›tkunde‹ finden sich Händlerdaten.

»Auch die Verschlüsselung ist kein Problem, denn aus der Datenbank heraus ist es möglich, Code im Shop-System auszugeben, welcher den privaten Schlüssel ausgibt«, so ein Sicherheitsexperte zu dieser spezifischen Herausforderung.

Kundenkommunikationen aus verschiedenen Systemen sind in der Datenbank ›moso_applications‹ ,›livezilla_‹ und ›egroupware‹ zugängig. Das Masterpasswort besteht aus 8 Zeichen mit Ziffern und Sonderzeichen.

Sind weitere Kundendaten einzusehen? Auch Endkundendaten der Händler?

Die wichtige Frage ist, ob noch weitere Daten der Händler, also deren Endverbraucherdaten einzusehen sind? Modern Solution GmbH & Co. KG ist zwar angefragt, hat aber noch keine Rückmeldung gegeben. Das Endverbraucherdaten und Zugangsdaten zu den Endsystemen der Händler – jedenfalls vereinzelt – offen liegen, lässt sich mit Sicherheit anhand der Screenshots belegen.

Datenauszug aus (Endverbraucher) Kunden Daten von Händlern

Datenauszug aus (Endverbraucher) Kunden Daten von Händlern

Es ist anzuraten, dass ihr einen Anwalt befragt sofern ihr Kunde des JTL-Partners seid. Mit DSGVO-Verstößen ist NICHT zu spaßen.

Technische Einordnung

Laut einem Sicherheitsexperten, der unbenannt bleiben möchte, weisen sowohl die Software als auch das Datenleck darauf hin, dass hier nachhaltig mit ungenügender Sach- und Fachkenntnis entwickelt wurde. Das Datenleck scheint in dieser Form bereits seit mehreren Jahren zu existieren.

Moso.Connect Datenleck

Datenauszug

Da die offenen Daten auf eine Vielzahl von Versäumnissen und Nachlässigkeiten hindeuten, ist es sicherlich zulässig, die grundsätzliche Kompetenz und Eignung des Dienstleisters in Frage zu stellen. Wenn Modern Solution sofort reagiert ist wahrscheinlich mit Ausfällen zu rechnen.

JTL und seine Servicepartner. Ein Risiko für Händler.

Auch unter den Partnern wird seit geraumer Zeit diskutiert, ob der jetzige Zertifizierungsprozess funktioniert. Aus dem Markt sind Stimmen zu hören, die äußern, dass es JTL nur um die Zahlungen bzw. die Umsätze ginge, die die Partner für JTL generieren.

Screenshot JTL Facebook Gruppe

Screenshot JTL Facebook Gruppe

Hieraus ergeben sich, wie nicht nur dieser Fall zeigt, existenzielle Risiken für JTL-Kunden und -Händler. Ein Administrator der JTL Facebook-Gruppe hat heute Morgen obiges Warnposting gelöscht. Es ist wohl anzunehmen, dass JTL nicht an einem Schutz ihrer Händler interessiert ist, sondern wohl eher die Angelegenheit ›nicht öffentlich‹ klären möchte. Das ist schade, denn Händler MÜSSEN über solche fundamentalen Risiken und Vorfälle informiert werden.

Ein weiteres Problem, welchem sich JTL nicht zu stellen scheint, ist, dass offensichtlich jeder zertifizierte Servicepartner ohne qualitätssichernde Prozesse Schnittstellen anbieten und ›semioffiziell‹ bewerben darf. Diese fehlenden Review-Prozesse führen dann eben zu solchen nicht hinnehmbaren Risiken für die Händler.

Haftungsfragen

Wer haftet nun für den bei den Händlern entstandenen Schaden? Das wird juristisch zu klären sein. Hätte JTL jedoch einen ordentlichen Zertifizierungs- und Überwachungsprozess für die Aufnahme in das Dienstleisterverzeichnis, dann wäre vielleicht sichergestellt, dass die Modern Solution GmbH & Co. KG über eine geeignete Versicherung für solche Schäden verfügt. Laut aktueller Wirtschaftsauskunft beschäftigt das Unternehmen 5 Angestellte, 2 Teilzeitkräfte und 2 Geschäftsführer. Ob das nötige Kapital einen solchen Schaden zu regulieren vorhanden sein wird, darf sicherlich hinterfragt werden.

Kehrt nichts unter den Teppich!

DSGVO-Verstöße sind kein Kavaliersdelikt. Über den Sinn und Zweck der DSGVO kann sicherlich diskutiert werden, aber das Risiko eines empfindlichen Bußgeldes steht im Raum. Setzt euch nicht dieser Gefahr aus, sondern befragt einen Juristen oder euren Datenschutzbeauftragten. Reagiert ihr nicht, habt ihr eine Leiche im Keller, die irgendwann stinken wird. Und zwar dann, wenn der Landesdatenschutzbeauftrage der Modern Solution GmbH & Co. KG seine Ermittlungen aufnimmt und dessen Ergebnisse unter Umständen weiterleitet!

UPDATE: https://wortfilter.de/falsche-anzeige-einer-datenschutzverletzung-durch-modern-solution-gmbh-co-kg/