4sellers steht vor einer großen Herausforderung, denn über Jahre waren die vollständigen ERP-System-Datenbanken von Händlern, die 4sellers verwenden, Dritten verfügbar. Das bedeutet, Dritte konnten in das Herz des jeweiligen Händlers schauen. Egal ob Lieferanten- oder Endkundendaten, Einkaufspreise oder API-Schlüssel, alle Daten waren mindestens zwei Jahre lang einsehbar. Der ERP Dienstleister wurde bereits Ende 2019 über diese Sicherheitslücke informiert, Kunden und deren Endkunden sowie die zuständige Landesdatenschutzbehörde wurden nicht in Kenntnis gesetzt.
Betroffen von diesem Datenleck sind Kunden wie z.B. resteller24, fuxtec, svh24, moebelplus, Harlander oder Greems. Eine Händlerdatenbank hat z.B. eine Größe von 10GB und enthält Millionen an Datensätzen.
Die Datenbanken enthalten alle Firmendaten, Lieferanten, Einkaufspreise, Einkaufrechnungen, alle Artikeldaten, API-Schlüssel und natürlich alle Endkundendaten mit Rufnummern (sofern angegeben) sowie alle Zahldaten, also Bankverbindung oder PayPal-Konto.
Der Zugriff auf die Firmendatenbanken war über einen 4Sellers eigenen FTP-Server möglich. Auf Kunden-Servern war über FileZilla ein Zugang zu diesem Server eingerichtet. Im Falle eines Upgrades wurde dann auf diesem FTP Server von 4seller Mitarbeitern eine Kopie der Datenbank abgelegt. Die Zugangsdaten waren für Kunden identisch. Auf dem Server befanden sich Datenbanken, also die vollständigen Inhalte des ERP-System von 4Seller-Kunden. Die Zugangsdaten waren unverschlüsselt und konnten ausgelesen werden, das Passwort war im Base64-Format gespeichert.
Ende 2019 wurden die Geschäftsführer über diese Sicherheitslücke informiert. Sie unterließen es, ihre Kunden und die Endkunden zu informieren.
Die Sicherheitslücke wurde durch Änderung des Passwortes vermeintlich geschlossen. Es liegen keine Erkenntnisse vor, ob sie nun vollständig geschlossen worden ist. Auf mehrmalige Nachfrage von Wortfilter wollte 4Sellers zu den Vorwürfen keine Stellungnahme abgeben.
Die Konsequenzen eines solchen Datenlecks könnten kaum schlimmer sein. Denn unter den Kunden von 4sellers befinden sich auch Unternehmen, die gegenseitig im Wettbewerb stehen. Massivum und .moebelplus oder Bandel Automobiltechnik und ECD Germany.
Wenn möglicherweise ein Wettbewerber Kenntnis von der Lücke hatte, konnte er so sämtliche Firmeninterna seines Wettbewerbers ausspionieren.
Aber auch für die betroffenen Plattformen Amazon und eBay kann der Schaden kaum größer sein. Millionen an Kundendaten inklusive Rufnummern und Bankdaten lagen offen wie ein Scheunentor in der Datenbank.
Der Informant hat sich nun dazu entschlossen, den Fall der Landesdatenschutzbehörde Bayern zu melden:
Sehr geehrte Damen und Herren,
am 31.10.2019 wurde durch mich ein Datenleck bei der Firma 4Sellers GmbH (früher Logic-Base GmbH) Nelkenweg 6A, 86641 Rain aufgedeckt. Die Mitarbeiter verwendeten einen SFTP/FTP Server unter der Adresse ftp.logic-base.de um Komplette ERP Datenbanken im SQL Format von Kundenservern auf ihre eigenen Server zu übertragen. Diese Datenbank wurden unverschlüsselt und ohne zusätzliche Passwortschutz auf dem Server abgelegt.
Bei einer Überprüfung eines Kundensystem wurde festgestellt, dass die Zugangsdaten (Benutzername, Passwort, Serveradresse) im Base64 Format unverschlüsselt für den oben genannten FTP-Server auf einem Kundensystem abgespeichert wurde. Der Server auf welchem die Zugangsdaten abgespeichert wurden wird nicht durch 4Sellers administriert oder liegt in deren Verantwortungsbereich. Auf dem 4Sellers FTP Server liegen Datenbank von Warenwirtschaftssystemen von 4Sellers Kunden, näheres hierzu im Punkt FTP Server Analyse.
Der mögliche Zugriff auf den FTP Server wurde von mir am 31.10.2019 um 20:30 per E-Mail an Herrn Meier, CEO der Firma 4Sellers GmbH gemeldet.
Am 01.11.2019 meldete sich Herr Grinzinger der Firma 4Sellers zuerst telefonisch bei mir und fragte nach um welchen Server es sich handelt. Anschließend wurden nochmals per WhatsApp von Herrn Grinzinger nachgefragt um welchen Server es sich handelt und ob der Zugriff noch möglich ist. Sieh Screenshot WhatsAppMichaelGrinzinger.
Durch 4Sellers wurde das Passwort geändert, ein Zugriff ist somit nicht mehr möglich.
Der gesamte eMailverlauf kann auf Wunsch zur Verfügung gestellt werden.
FTP Server Analyse
Im FTP Client Filezilla wurden durch die Firma 4Sellers die Zugangsdaten für den FTP Server ftp.logic-base.de gespeichert. Durch einen einfachen Klick auf Verbinden wurde die Verbindung zum FTP Server aufgebaut und es konnten alle auf dem FTP Server befindlichen Dateien /Ordner eingesehen werden. Bei der Überprüfung der Konfigurationsdatei des FileZilla Client wurde festgestellt, dass die Konfigurationsdatei vom 30.06.2017 15:23 Uhr stammt (siehe Screenshot Filezilla Configurationsdatei.jpg). Somit war der Zugriff ab diesem Zeitpunkt bis zur Schließung der Lücke am 01.11.2019 möglich.
Bei einigen Dateien handelt es sich um Backups von Kompletten ERP Datenbanken im SQL Forma. Explizit ist auf dem Screenshot FTPVerzeichnis0_2019-10-31 die Datenbank der Firma Möbelplus GmbH zu sehen, welche auch als Referenz auf der 4Sellers Website aufgeführt wird.
Im Screenshot FTPVerzeichnis1_2019-11-01 ist die Datei SageOL zu sehen welche die Komplette Firmendatenbank der Firma Restseller24 oHG enthält. Es handelt sich hierbei um ein SQL Backup des ERP System Sage Office Line bzw. Sage 100 mit 4Sellers Modulen welche die Kompletten Geschäftsdaten wie Kunden mit Kundenadressen und Telefonnummern, Bankverbindungen und Buchungen, Paypal Transaktionen, eBay Verkäufe, Amazon Verkäufe und die Buchhaltung enthalten. Im oben genannten Datensatz sind beispielsweise über 100.000 Kundenadressen mit E-Mail-Adresse und teilweise mit Telefonnummer enthalten.
Vergleicht man die Dateien im Verzeichnis Transfer, wird deutlich, dass der FTP Server zum Zeitpunkt des Bekanntwerdens der Sicherheitslücke aktiv genutzt wurde. Am 31.10.2019 waren mehrere aktuelle Datenbanken (siehe Screenshot FTPVerzeichnis0_2019-10-31.jpg) vorhanden. Diese wurden ggf. nach dem Download durch 4Sellers wieder gelöscht und teilweise neue Dateien hochgeladen (siehe Screenshot FTPVerzeichnis2_2019-11-01).
Die Datenanalyse erfolgte auf einem gesicherten Notebook, das Originalsystem kann der Datenschutzbehörde zur Verfügung gestellt werden. Mit freundlichen Grüßen
xxxxx xxxxxxxxx
Rechtsanwalt Falco Henkel von der unter anderem auf Datenschutz Herausforderungen spezialisierten Kanzlei Certa Lege aus Köln beantwortet zwei wichtige Fragen in seiner Stellungnahme. Welche Konsequenzen hat das Datenleck für 4sellers und was haben betroffene Kunden nun zu beachten:
4Sellers ist sowohl aufgrund der Verträge mit ihren Kunden als auch vor dem Hintergrund des geltenden Datenschutzrechts verpflichtet, dem Stand der Technik entsprechende technische und organisatorische Maßnahmen zu ergreifen, die geeignet sind, ein Datenleck zu verhindern. Da hier große Mengen von Daten verarbeitet werden und deren Inhalt sensible Informationen, z.B. personenbezogene Daten, aber auch Geschäftsgeheimnisse der 4Sellers Kunden enthalten, ist das zu fordernde Schutzniveau aus meiner Sicht hoch anzusetzen.
Sollte sich bestätigen, dass es hier zu einem Datenleck kam, da nicht einmal einfachste Schutzmaßnahmen, wie z.B. die verschlüsselte Hinterlegung von Passwörtern, vorgenommen worden sind, dürfte dieses zu fordernde Schutzniveau von 4Sellers keinesfalls eingehalten worden sein. Sollte sich darüber hinaus bestätigen, dass 4Sellers trotz Hinweise auf das Datenleck keine oder nur unzureichende Maßnahmen zur Behebung des Sicherheitsproblems vorgenommen hat, würde ich von einer grob fahrlässigen Verletzung der vertraglichen und gesetzlichen Pflichten von 4Sellers ausgehen.
4Sellers muss dann damit rechnen, dass deren Kunden Schadensersatzansprüche geltend machen. Schäden können hier beispielsweise entstehen, wenn Geschäftsgeheimnisse in die Hände von Konkurrenten gelangt sind oder infolge des Datenlecks ein Imageverlust für die Kunden von 4Sellers entsteht. Schäden drohen auch dann, wenn die Sicherheitslücke ausgenutzt wurde, um Daten im Warenwirtschaftssystem der Kunden von 4Sellers zu manipulieren. Schließlich sollen durch die Sicherheitslücke sogar Lizenzschlüssel für Schnittstellen zu bestehenden Angeboten der 4Sellers Kunden auf Plattformen wie eBay oder Amazon offengelegt worden sein. Dritte können diese ausnutzen, um aktiv in die Angebote einzugreifen, was ebenfalls zu massiven Schäden führen kann.
Darüber hinaus kann es durch die Sicherheitslücke aber auch zu einem unberechtigten Zugriff auf eine Vielzahl von personenbezogenen Daten gekommen sein. Ein unberechtigter Zugriff auf Kontaktdaten der Endkunden in dem Warenwirtschaftssystem, deren Einkaufsverhalten und ggfs. deren Kreditwürdigkeit würde aus meiner Sicht zu einem erheblichen Risiko für die Rechte und Freiheiten der betroffenen Personen führen.
4Sellers dürfte diese Daten in aller Regel als Auftragsverarbeiter für die Händler verarbeitet haben. Aus diesem Vertragsverhältnis heraus ist 4Sellers verpflichtet, den Händlern als Auftraggeber unverzüglich über erkannte Sicherheitsrisiken zu informieren sowie darüber, ob die Sicherheitslücke ausgenutzt wurde und wenn ja in welchem Umfang. Natürlich sind auch unverzüglich Maßnahmen zur Behebung der Sicherheitslücke einzuleiten, auch hierüber ist der Auftraggeber zu informieren. Soweit dieser Mitteilungspflicht bisher nicht Genüge getan wurde, muss 4Sellers mit der Geltendmachung von Auskunftsansprüchen der Händler rechnen.
Schließlich drohen auch erhebliche Bußgelder durch die Datenschutzaufsichtsbehörden wegen Verstoßes der den Auftragsverarbeiter treffenden gesetzlichen Pflichten.
Konsequenzen für die 4Sellers Kunden:
Das wichtigste für die Händler, welche Kunden von 4Sellers sind, wird zunächst einmal sein, festzustellen, ob deren Daten von der Sicherheitslücke betroffen waren und gegebenenfalls noch betroffen sind und ob es zu einem unberechtigten Zugriff Dritter bzw. zu einem Datenabfluss gekommen ist.
Darüber hinaus ist es für den Kunden wichtig, dass nun unverzüglich Maßnahmen zur Behebung der Sicherheitslücke eingeleitet werden, wenn dies bisher noch nicht geschehen ist oder bisherige Maßnahmen zur Behebung des Datenlecks und Gewährleistung eines ausreichenden Schutzes der Daten nicht ausreichen.
Sollte 4Sellers den Kunden hierüber noch nicht informiert haben, hat dieser einen Auskunftsanspruch und sollte diesen auch geltend machen.
Darüber hinaus müssen sich die Händler bewusst sein, dass sie im Zusammenhang mit dem Datenleck ebenfalls wichtige gesetzliche Pflichten treffen.
Hat der Händler 4Sellers bei der Verarbeitung personenbezogener Daten als Auftragsverarbeiter eingesetzt, ist der Händler datenschutzrechtlich verantwortlich für die Verarbeitung. Auch wenn also der Fehler auf Seiten von 4Sellers passiert ist, ist der Händler gegenüber der Datenschutzaufsichtsbehörde und den betroffenen Endkunden in der Pflicht.
Sollte es aufgrund der Sicherheitslücke also zu einem unberechtigten Zugriff auf personenbezogene Daten der Endkunden oder zu einem entsprechenden Abfluss dieser Daten gekommen sein, wäre der Händler verpflichtet, die Aufsichtsbehörde unverzüglich, spätestens aber innerhalb von 72 Stunden nachdem ihm die Verletzung bekannt wurde, zu informieren.
Darüber hinaus ist auch der betroffene Endkunde über die Verletzung zu informieren, wenn diese voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten des Betroffenen zur Folge hat. Diese Prognose wäre zwar in jedem Einzelfall vorzunehmen, in Anbetracht der Art und des Umfangs der hier in einer ERP Datenbank gespeicherten Daten, dürfte ein solches Risiko aber regelmäßig vorliegen.
Entstandene Schäden können die Endkunden von dem Händler ersetzt verlangen. Dass dieser dann einen Regressanspruch bei 4Sellers geltend machen kann, mag ihn am Ende schadensfrei stellen, der damit verbundene Aufwand und der Imageverlust des Händlers wird dadurch in aller Regel allerdings nicht ausreichend kompensiert.
Der Händler als Verantwortlicher für die Datenverarbeitung kann zudem ebenfalls mit empfindlichen Bußgeldern durch die Aufsichtsbehörde belegt werden. Je schneller und entschlossener der Händler allerdings in dieser Angelegenheit nun tätig wird, um einen etwaigen Sicherheitsverstoß abzustellen und einzudämmen, umso eher lassen sich Bußgelder vermeiden. Hier wird auch eine Rolle spielen, inwieweit der Händler den Sicherheitsverstoß im Vorfeld hätte erkennen können und ob 4Sellers bei den tatsächlich durchgeführten Sicherheitsmaßnahmen gegen anderslautende Weisungen und vertragliche Verpflichtungen verstoßen hat.
Trackbacks/Pingbacks