Zusammenfassung zu der im Juli 2018 entdeckten Datenpanne

Was genau ist passiert?

Am 3. Juli 2018 behauptete ein Nutzer im DomainFactory Forum, Zugang zu Kundendaten zu haben und veröffentlichte als Beweis einige Datensätze. Wir haben umgehend alle verantwortlichen Teams alarmiert und Untersuchungen gestartet.

Dabei mussten wir feststellen, dass wir einer Straftat zum Opfer gefallen sind: Der Angreifer ist unbefugt in unser System eingedrungen. Sofort eingeleitete polizeiliche Ermittlungen laufen derzeit noch.

Erste Ergebnisse zeigten, dass durch eine Systemumstellung Ende Januar 2018 unbeabsichtigt bestimmte Kundeninformationen für außenstehende Dritte über einen Datenfeed zugänglich waren. Dieser Datenfeed wurde ausgelöst, wenn Kunden an ihren DomainFactory-Accounts Änderungen vorgenommen hatten, die beim Speichern zu Systemfehlern führten. Die Informationen in dem Datenfeed umfassten folgende personenbezogene Informationen:

• Kundenname
• Firmenname
• Kundennummer
• Stammdaten-E-Mail-Adresse
• Anschrift
• Telefonnummer
• DomainFactory Telefon-Passwort
• Bankname und Kontonummer (z.B. BIC oder IBAN)
• Schufa-Score

Weitere Zahlungsdaten z.B. zu Rechnungen waren im Datenfeed nicht enthalten.

Bei den fortlaufenden Untersuchungen mussten wir feststellen, dass derselbe Angreifer auf weitere Systeme zugegriffen hat. Wir bitten um Verständnis, dass wir Ihnen auf Grund laufender Ermittlungen keine weiteren Details dazu nennen können.

Was hat DomainFactory zur Absicherung der Systeme unternommen?

Nachdem wir die Zugriffsmöglichkeiten ausfindig gemacht hatten, haben wir sofort entsprechende Gegenmaßnahmen ergriffen, um weiterem Missbrauch entgegenzuwirken.

Die Zugangsmöglichkeiten wurden gesperrt, verdächtige Systeme unschädlich gemacht und sämtliche Logindaten unserer Mitarbeiter geändert.

Zudem haben wir eine externe Sicherheitsfirma beauftragt, uns bei der forensischen Untersuchung unserer Systemumgebung zu unterstützen und die Datenschutzbehörde und das Bundesamt für Sicherheit in der Informationstechnik sowie alle unsere Kunden über die Datenpanne informiert.

Es ließen sich keine Hinweise finden, dass weitere Personen Zugriff auf unsere Systeme hatten; die Zugangsmöglichkeiten sind nunmehr geschlossen.

Für eine höhere Sicherheit unserer Systeme setzen wir nun eine Web Application Firewall (WAF) von Cloudflare für den Bestellprozess und das Kundenmenü ein. Sie arbeitet als Filter zwischen unseren Servern und potenziell bösartigem Datenverkehr aus dem Internet und schützt vor betrügerischen Aktivitäten wie SQL-Injections und Cross-Site-Scripting.

Da der Angreifer die Telefonpasswörter unserer Kunden auslesen konnte, haben wir außerdem die Authentifizierung bei telefonischen Anfragen angepasst: Das Telefonpasswort wurde durch den Support-Token abgelöst, der Ihnen in Ihrem Kundenmenü im Header angezeigt wird und sich automatisch in regelmäßigen Abständen aktualisiert.

Außerdem haben wir alle Kunden aufgefordert, ihre Kundenpasswörter zu ändern. Für alle Kunden, die ihr Kundenpasswort nicht zeitnah geändert haben, wurde es nach vorangehender Benachrichtigung via E-Mail einzig aus Vorsichtsgründen automatisch zurückgesetzt.

Wie wurden die Kunden informiert?

Wir haben alle Kunden per E-Mail über die Datenpanne informiert und zusätzlich regelmäßig Updates geschickt.

Dabei haben wir alle Kunden gebeten, ihre Bankkontoauszüge zu überwachen und bei verdächtigen Kontobewegungen auch zu erwägen, die Polizei zu verständigen. Tatsächlich sind uns jedoch keine Fälle bekannt, bei denen Auffälligkeiten festgestellt werden konnten.

Als Hilfestellung zur Änderung der Passwörter haben wir einen Blogartikel mit Anleitungen zur Änderung der Passwörter bereitgestellt.

Kunden, bei deren Accounts gesonderte Sicherheitsmaßnahmen notwendig waren, wurden in einem separaten Mailing angeschrieben.

Parallel zu den E-Mails haben wir auf unserer Statusseite, auf der Sie jederzeit relevante Meldungen zu unseren Systemen nachlesen können, seit dem 6. Juli 2018 über die Datenpanne informiert.

Durch das überdurchschnittliche Volumen an Rückfragen rund um die Datenpanne kam es leider in den Wochen danach zu erhöhten Antwortzeiten in unserem Kundenservice. Auch das hatten wir auf unserer Statusseite vermerkt. An dieser Stelle möchten wir uns nochmal dafür entschuldigen und uns für Ihre Geduld bedanken. Wir haben in zusätzliche Ressourcen im Kundenservice investiert und stehen hinsichtlich der Abarbeitung der Rückstände mit der Datenschutzbehörde weiter in Kontakt.

Wir waren auch zu jedem Zeitpunkt in den sozialen Netzwerken da und haben die gesamte Interaktion mitverfolgt. Dabei haben wir sehr wohl mitbekommen, dass einige von Ihnen sich gewünscht hätten, dass wir uns (insbesondere auf Twitter) zu dem Vorfall äußern. Eine direkte Kommunikation zu unseren Kunden via E-Mail, und zusätzlich ein ausführlicher Hinweis auf unserer Statusseite – also über die Kommunikationsmedien, die wir im Falle wichtiger Ankündigungen auch sonst wählen – erschien uns deutlich übersichtlicher, als in eine verzweigte Diskussion in den sozialen Netzwerken einzusteigen.

Sie haben zwischenzeitig sämtliche uns zur Verfügung stehenden Informationen erhalten, die wir Ihnen trotz laufender Ermittlungen mitteilen durften. Jeder Kunde wurde per E-Mail über die Datenpanne informiert. Seien Sie versichert, dass wir keine für Sie relevanten Ergebnisse oder Informationen zurückgehalten haben.

Was passiert mit dem Forum?

Unser DomainFactory Kundenforum hat Raum für Diskussion, aber auch für den Wissensaustausch zwischen den Nutzern geboten. Neue Mitglieder wurden immer herzlich begrüßt und Fragen konnten meist mit ausführlichen Lösungsvorschlägen diskutiert und geklärt werden. Im Laufe der Jahre ist so eine umfangreiche Wissensdatenbank entstanden und die Community ist ein wichtiger Teil von DomainFactory geworden. Daher ist uns der Entschluss am 4. Juli 2018, das Forum offline zu nehmen, nicht leichtgefallen. Die Deaktivierung war jedoch zum Schutz der Daten unserer Nutzer erforderlich.

Wir möchten Ihnen versichern, dass wir kein Interesse daran haben, auf unser Forum zu verzichten.

Jedoch haben wir nach dem Angriff alle Systeme genau überprüft und mussten feststellen, dass das Forum, wie es bisher zur Verfügung stand, nicht mehr unseren Sicherheitsanforderungen entspricht.

Wir haben uns in den vergangenen Wochen ausführlich Gedanken darüber gemacht, wie wir es in einer aktualisierten Variante zur Verfügung stellen werden: Es soll allen Ansprüchen der Nutzer und Mitarbeiter in einem modernen System gerecht werden, gleichzeitig möchten wir das bislang gesammelte wertvolle Wissen wieder zugänglich machen.

Daher setzen wir ein komplett neues System auf. Wir sehen uns dabei genau an, welche Themenbereiche des alten Forums gern genutzt wurden und welche eher nicht mehr, und leiten daraus eine neue, übersichtlichere Struktur ab.

Reseller können wieder wie gewohnt in einem eigenen geschützten Bereich diskutieren.

Eine Schnittstelle zum Kundenmenü in der Weise des alten Forums jedoch wird es nicht mehr geben, die Freischaltung für den internen Reseller-Bereich erfolgt manuell.

Parallel werden wir Ihnen die Inhalte des alten Forums übergangsweise in einer aktualisierten read-only Version zur Verfügung stellen. Sie können dort also keine neuen Diskussionen starten oder alte Beiträge kommentieren, jedoch haben Sie die Möglichkeit, lesend auf die Inhalte zuzugreifen. Da kein Login mehr in das alte System möglich ist, werden nur noch die öffentlichen Bereiche zugänglich sein.

Wir bitten an dieser Stelle um Ihr Verständnis, dass wir das alte Forum, wie Sie es kannten, aus Sicherheitsgründen nicht wieder online stellen können. Diese Entscheidung ist zum Schutz der Daten unserer User getroffen worden. Wir hoffen auf Ihr Verständnis dafür, und dass Sie auch in unserem neuen Forum vorbeischauen werden!

Häufig gestellte Fragen

Hier haben wir die häufigsten Fragen zur Datenpanne für Sie zusammengestellt.

Warum hattet Ihr den Schufa-Score gespeichert?

Wir haben im Zeitraum vom 14. Dezember 2004 und 12. Februar 2007 auf Grundlage unserer Datenschutzerklärung bei Neukunden eine Schufa-Prüfung vorgenommen. Danach haben wir diese Praxis eingestellt und die Schufa-Daten zwischenzeitig gelöscht.

Entspricht die Datenexportfunktion dem Artikel. 15 Datenschutz-Grundverordnung ("Auskunftsrecht der betroffenen Person")?

Die Datenexportfunktion entspricht Artikel 20 Datenschutz-Grundverordnung "Recht auf Datenübertragbarkeit". Ihren Auskunftsantrag nach Artikel 15 Datenschutz-Grundverordnung richten Sie bitte an datenschutz@df.eu. Wir senden Ihnen dann ein Formular an Ihre in den Stammdaten hinterlegte E-Mailadresse bei DomainFactory, um Sie gesetzeskonform identifizieren zu können. Füllen Sie dieses Formular bitte aus und senden es anschließend an sar@df.eu.

Wurden die Bankdaten verschlüsselt oder im Klartext gespeichert?

Wir haben Kontonummer, Bankleitzahl und BIC (Bank Identifier Code) im Klartext gespeichert. Der IBAN (International Bank Account Number) erscheint nur in den ersten sechs und den letzten vier Ziffern im Klartext, ist sonst aber verschlüsselt.

Das können Sie auch in Ihrem Kundenmenü unter „Stammdaten -> Zahlungsinformationen“ nachvollziehen.

Alle aktuellen Kreditkarteninformationen werden im Tokenization-Verfahren verschlüsselt.

Gibt es den Kunden nicht mitgeteilte weitere Sicherheitslücken?

Während unserer Untersuchung haben wir keine Anhaltspunkte für andere als in den Kundenmitteilungen vom 7. und 9. Juli 2018 genannten Sicherheitslücken gefunden.

Ich bin gar kein Domain Factory-Kunde mehr. Warum haben Sie meine Daten nicht gelöscht?

Wir sind aus steuerlichen und rechtlichen Gründen verpflichtet, Kundendaten für 10 Jahre aufzubewahren.

Konnte der Angreifer auch auf meine Postfächer zugreifen?

Wir haben keine Anhaltspunkte dafür gefunden, dass dem Angreifer ein Zugriff auf Postfächer möglich war.

Abschließend betonen wir nochmals, dass uns die Privatsphäre unserer Kunden sehr wichtig ist und wir die Datenpanne zutiefst bedauern. Sollten Sie weitere Unterstützung benötigen oder Fragen offen geblieben sein, senden Sie uns bitte eine E-Mail an support@df.eu oder nutzen Sie die Kommentarfunktion unter dem Beitrag.