Der nach eigenen Angaben zertifizierte JTL-Servicepartner Modern Solution GmbH & Co. KG hat ein massives Datenleck. Dadurch sind sämtliche Kundendaten einsehbar und Zugriffe auf verschiedene Datenbanken möglich. Telefonisch teilte der Geschäftsführer mit, dass sie zu der Problematik noch nichts mitteilen können.
Was ist technisch passiert?
Bei der Einrichtung der Software wurde eine externe Datenbankverbindung festgestellt. Die Verbindungsanfrage samt Zugangsdaten wurden durch eine Firewall geloggt. Die bei der Datenbankanfrage übermittelten Zugangsdaten führten zu dem Server der Modern Solution GmbH & Co. KG und dort zu verschiedenen Datenbanken. Diese waren unter anderem einsehbar:
Unter den Datenbanken findet sich auch eine JTL-Shop-Installation aus dem Jahre 2017. Genau dort und zwar genau in der Tabelle ›tkunde‹ finden sich Händlerdaten.
»Auch die Verschlüsselung ist kein Problem, denn aus der Datenbank heraus ist es möglich, Code im Shop-System auszugeben, welcher den privaten Schlüssel ausgibt«, so ein Sicherheitsexperte zu dieser spezifischen Herausforderung.
Kundenkommunikationen aus verschiedenen Systemen sind in der Datenbank ›moso_applications‹ ,›livezilla_‹ und ›egroupware‹ zugängig. Das Masterpasswort besteht aus 8 Zeichen mit Ziffern und Sonderzeichen.
Sind weitere Kundendaten einzusehen? Auch Endkundendaten der Händler?
Die wichtige Frage ist, ob noch weitere Daten der Händler, also deren Endverbraucherdaten einzusehen sind? Modern Solution GmbH & Co. KG ist zwar angefragt, hat aber noch keine Rückmeldung gegeben. Das Endverbraucherdaten und Zugangsdaten zu den Endsystemen der Händler – jedenfalls vereinzelt – offen liegen, lässt sich mit Sicherheit anhand der Screenshots belegen.
Es ist anzuraten, dass ihr einen Anwalt befragt sofern ihr Kunde des JTL-Partners seid. Mit DSGVO-Verstößen ist NICHT zu spaßen.
Technische Einordnung
Laut einem Sicherheitsexperten, der unbenannt bleiben möchte, weisen sowohl die Software als auch das Datenleck darauf hin, dass hier nachhaltig mit ungenügender Sach- und Fachkenntnis entwickelt wurde. Das Datenleck scheint in dieser Form bereits seit mehreren Jahren zu existieren.
Da die offenen Daten auf eine Vielzahl von Versäumnissen und Nachlässigkeiten hindeuten, ist es sicherlich zulässig, die grundsätzliche Kompetenz und Eignung des Dienstleisters in Frage zu stellen. Wenn Modern Solution sofort reagiert ist wahrscheinlich mit Ausfällen zu rechnen.
JTL und seine Servicepartner. Ein Risiko für Händler.
Auch unter den Partnern wird seit geraumer Zeit diskutiert, ob der jetzige Zertifizierungsprozess funktioniert. Aus dem Markt sind Stimmen zu hören, die äußern, dass es JTL nur um die Zahlungen bzw. die Umsätze ginge, die die Partner für JTL generieren.
Hieraus ergeben sich, wie nicht nur dieser Fall zeigt, existenzielle Risiken für JTL-Kunden und -Händler. Ein Administrator der JTL Facebook-Gruppe hat heute Morgen obiges Warnposting gelöscht. Es ist wohl anzunehmen, dass JTL nicht an einem Schutz ihrer Händler interessiert ist, sondern wohl eher die Angelegenheit ›nicht öffentlich‹ klären möchte. Das ist schade, denn Händler MÜSSEN über solche fundamentalen Risiken und Vorfälle informiert werden.
Ein weiteres Problem, welchem sich JTL nicht zu stellen scheint, ist, dass offensichtlich jeder zertifizierte Servicepartner ohne qualitätssichernde Prozesse Schnittstellen anbieten und ›semioffiziell‹ bewerben darf. Diese fehlenden Review-Prozesse führen dann eben zu solchen nicht hinnehmbaren Risiken für die Händler.
Haftungsfragen
Wer haftet nun für den bei den Händlern entstandenen Schaden? Das wird juristisch zu klären sein. Hätte JTL jedoch einen ordentlichen Zertifizierungs- und Überwachungsprozess für die Aufnahme in das Dienstleisterverzeichnis, dann wäre vielleicht sichergestellt, dass die Modern Solution GmbH & Co. KG über eine geeignete Versicherung für solche Schäden verfügt. Laut aktueller Wirtschaftsauskunft beschäftigt das Unternehmen 5 Angestellte, 2 Teilzeitkräfte und 2 Geschäftsführer. Ob das nötige Kapital einen solchen Schaden zu regulieren vorhanden sein wird, darf sicherlich hinterfragt werden.
Kehrt nichts unter den Teppich!
DSGVO-Verstöße sind kein Kavaliersdelikt. Über den Sinn und Zweck der DSGVO kann sicherlich diskutiert werden, aber das Risiko eines empfindlichen Bußgeldes steht im Raum. Setzt euch nicht dieser Gefahr aus, sondern befragt einen Juristen oder euren Datenschutzbeauftragten. Reagiert ihr nicht, habt ihr eine Leiche im Keller, die irgendwann stinken wird. Und zwar dann, wenn der Landesdatenschutzbeauftrage der Modern Solution GmbH & Co. KG seine Ermittlungen aufnimmt und dessen Ergebnisse unter Umständen weiterleitet!
UPDATE: https://wortfilter.de/falsche-anzeige-einer-datenschutzverletzung-durch-modern-solution-gmbh-co-kg/
Nun ja, letztendlich kann jeder, der möchte, das SA-Passwort der Datenbank (SQL Server) auf der Webseite von JTL einsehen 🙂
https://guide.jtl-software.de/jtl-wawi/installation/installation-des-microsoft-sql-server-express/
Natürlich kann man bei der Installation von SQL Server das Passwort selbst vergeben. Wird aber die Software automatisch installiert, steht das Tor offen und es kann losgehen.
Uwe Ricken
db Berater GmbH
.. Uwe du hast die Lücke NICHT verstanden. Es ging nicht um die >eigene< SQL Datenbank. Du konntest NICHT das PW ändern. Es gab 1(!!) DB auf die alle Kunden mit dem selben PW zugreifen.
* Lilith Wittmann
https://netzpolitik.org/2021/cdu-connect-ermittlungsverfahren-gegen-sicherheitsforscherin-lilith-wittmann-eingestellt/
Ich habe einen Artikel bei Golem über die Auseinandersetzung und auch den eventuell noch andauernden Rechtsstreit gelesen :
Vielleicht ist der Fall von CDU vs Alice Wittmann von Interesse, das Verfahren wurde eingestellt, da die Daten nicht besonders geschützt worden sind und daher garkein Hacking vorlag.
Vielleicht ist das Urteil und die Argumentation dafür juristisch von Interesse für alle von Modern Solution angezeigten Personen.
Viel Erfolg!
Meine Empfehlung, gerne mit meiner Unterstützung:
Eine Abmahnung oder Klage gegen Modern Solution wegen Datenschutzverstößen auf deren Webseite.
Beispielsweise werden dort externe Google Fonts eingebunden. Das halte ich für rechtswidrig und begründe es hier auch: https://dr-dsgvo.de/google-schriften-auf-websites-nur-mit-einwilligung/
Übrigens sollte diese Webseite (Wortfilter) mal überarbeitet werden, damit die Datenschutzgesetze zukünftig eingehalten werden.
Ich musste mal vor Jahren an einen JTM Shop rein und musste mir den Source Code (der teilweise mit Ironsource oder wie das hieß verschleiert wurde) anschauen. Der Shopcode von JTL ist selbst absolute Kraut und Rüben.
“gibVaterSql” als Methoden Namen ist der Brüller auf jeder Party 😆
Muss Joe hier Recht geben, das Unternehmen erinnert mehr an eine Pommes Bude wie an ein zertifiziertes IT-Unternehmen.
Preise werden kundenindividuell gewürfelt und Fragen zur Verschlüsselung bleiben einfach unbeantwortet.
Frittenbude