Umgang mit Hinweisgebern Wie ein Hacker die Baumarktkette Obi warnen wollte - und fast verzweifelte Ein schneller Klick auf ein verlockendes Angebot - und es wäre womöglich passiert: Über modifizierte Links in gefälschten Werbe - E - Mails hätten sich Kriminelle Zugriff auf die Zugangsdaten Tausender Kunden der Baumarktkette Obi verschaffen können. Dass es d azu offenbar nicht kam, ist allerdings nicht das Verdienst der Baumarktkette. Im Gegenteil: Eine Sicherheitslücke im Obi - Webportal fiel dort lange Zeit nicht auf. Noch problematischer: Selbst auf konkrete Hinweise reagierte das Unternehmen nur zögerlich - und auch erst, nachdem diese in den sozialen Medien diskutiert wurden. Dass Obis Kunden also bislang verschont blieben, dürfte purer Zufall sein. Und damit steht der Fall stellvertretend für viele Cyberangriffe auf Unternehmen. Was war passiert? Es ist s pät im September, als Jean Pereira, IT - Spezialist aus Köln und ein ethischer Hacker, bei Obi und anderen Seiten im Netz auf die sensible Lücke stößt. Sie ermöglicht es Angreifern, reguläre Web - Adressen des Obi - Portals um spezielle Programmbefehle zu ergänz en, die die Server beim Aufruf der Seite abarbeiten, vermutet Pereira. Solche korrumpierten Links sind zwar länger als die reguläre Adresse der Homepage. Sie lassen sich aber in gefälschten Newslettern unsichtbar verstecken, die Spammer täglich millionenfa ch verschicken. Sobald Kunden darauf klicken und sich im Portal anmelden, können Kriminelle die Kontrolle der Onlinesitzung übernehmen, versuchen, weitere Nutzerdaten zu stehlen und im Extremfall gar auf fremde Rechnung einzukaufen. Das Problem betriff t nicht nur Obi , stellt Pereira fest. Per E - Mail kontaktiert er Firmen wie die Kölner Supermarktkette Rewe und zahlreiche Behörden und bietet an, detaillierte Infos zur Lücke und ihrer Behebung kostenfrei zur Verfügung zu stellen. In einem Teil der Fälle w erden die Lücken nach Recherchen der WirtschaftsWoche wenig später tatsächlich geschlossen. Bei Obi hingegen geschieht - nichts. Zwar teilt das Unternehmen mit, "die Hinweise von Herrn Pereira auf eine potenzielle Sicherheitslücke von Anfang an ernst geno mmen und umgehend Überprüfungen eingeleitet" zu haben. Eine Antwort auf seine E - Mail bekommt Pereira allerdings nicht. Damit macht es die Baumarktkette wie viele Unternehmen, Behörden und Institutionen, die sich zu oft in Ignoranz üben, wenn ethische Hac ker wie Pereira in deren IT - Systemen oder Web - Angeboten Lücken finden. Diese Experten suchen Schwachstellen zunächst ehrenamtlich und melden sie den Betroffenen. Viele wollen auf diese Weise ihre Reputation stärken oder hoffen, anschließend bezahlte Aufträ ge für weitere IT - Sicherheitschecks zu bekommen. Nicht zu reagieren und Kontakt zum Hinweisgeber aufzunehmen sei ein weit verbreiteter Fehler, sagt der Cyber - Spezialist einer großen Unternehmensberatung, der wegen Kunden im Handel anonym bleiben möchte. E ntweder die Verantwortlichen steckten den Kopf in den Sand und hofften, dass die Lücke niemandem auffällt, oder es mangele intern an Meldewegen und Prozessen, um bei Hinweisen auf Sicherheitslücken schnell reagieren zu können. "Eines ist so schlimm wie das andere." "Vorsorglich offline genommen" Obi verweist zwar auf Prüfungen durch das interne Information Security Team und externe Sicherheitsexperten. Allein, Pereiras E - Mail bleibt unbeantwortet. Und so schreibt er kurzerhand Mitarbeiter der Baumarktkett e beim Karrierenetz LinkedIn an. Manche, erzählt er, hätten sogar sein Profil besucht. Details zur Schwachstelle aber habe niemand nachgefragt, sagt der Hacker. Mehr Gespür für die Brisanz und funktionierende Meldewege zeigen hingegen die Verantwortliche n in der Zentrale der Fraunhofer Gesellschaft in München und bei der Stadtverwaltung Heidelberg. Obwohl Pereira seinen Sicherheitshinweis auch da nur an eine im Impressum des Web - Angebots vermerkte E - Mail - Adresse verschickt, melden sich kurz darauf IT - Expe rten von Forschungseinrichtung und Stadt. "Wir nehmen jeden solcher Hinweise ernst und prüfen die Hintergründe der entsprechenden Meldungen", sagt etwa Sascha Balduf von der Heidelberger Stadtverwaltung. "Herr Pereira stellte uns unentgeltlich und kurzfris tig die Details zur Verfügung, mit denen wir das Problem nachvollziehen und die Lücke dann so schnell wie möglich schließen konnten", heißt es bei Fraunhofer. Obi dagegen meldet sich erst, als Pereira vor wenigen Tagen seinen Frust öffentlich macht - und sein Beitrag bei LinkedIn Wellen schlägt. Doch die Antwort fällt anders aus als erwartet: "Wir haben die Hinweise selbstverständlich ernst genommen, intern informiert und eine sofortige, umfassende Prüfung eingeleitet", beteuert Obi in einem Post. Das inte rne Security - Team habe "die Sachlage zügig analysiert und konnte die Behauptung des Vorliegens einer Sicherheitslücke komplett entkräften". Nur: Wie das gelingen konnte, ohne überhaupt mit dem Hacker zu sprechen und die mögliche Schwachstelle technisch ein zugrenzen, ließ der Konzern offen. Kaum hatte die Baumarktkette das Statement gepostet, hagelte es Kritik: Es sei "enttäuschend zu sehen, dass Organisationen wie Obi und Stadtverwaltungen Berichte über kritische Sicherheitslücken nicht ernst nehmen, schrieb ein Softwareentwickler. "Echt pei nlich", kommentierte eine Nutzerin. Ein anderer empfahl, Sicherheitslücken künftig am besten "per Fax" zu melden. Irgendwann reichte es auch Pereira. Er richtete einen Link ein, "um zu beweisen, dass ein Code injiziert werden kann", wie er schrieb. Jetzt m usste auch Obi reagieren. Die Baummarktkette schaltete das fragliche System kurzerhand ab. In einem Video dokumentierte Pereira sein Vorgehen. "Das System, bei dem es sich um ein unbedeutendes Nebensystem handelt, wurde vorsorglich offline genommen", tei lt Obi dazu mit. Es sei insbesondere geprüft worden, ob es zu einem unbefugten Zugriff auf Kundendaten gekommen sein kann. "Derzeit liegen uns keine Anhaltspunkte für einen unberechtigten Zugang zu oder Zugriff auf Kundendaten vor", schreibt das Unternehme n. Dennoch interessiert sich nun auch die NRW - Landesdatenschutzbeauftragte Bettina Gayk für den Vorgang. Anfang dieser Woche forderte sie die Baumarktkette mit Sitz im nordrhein - westfälischen Wermelskirchen zu einer Stellungnahme auf. Der Fall ist umso b risanter, als sich inzwischen herausgestellt hat, dass andere IT - Spezialisten die von Pereira gemeldete Schwachstelle offenbar schon Ende 2017 und im Frühjahr 2018 auf der IT - Sicherheitsplattform Open Bug Bounty (OBB) gemeldet hatten. Laut OBB - Dokumentatio n, sei Obi bereits damals auf die Lücke hingewiesen worden. "Kommt ein Unternehmen seinen Melde - und Benachrichtigungspflichten nicht nach, stellt dies einen Datenschutzverstoß dar", so Gayks Sprecher Thomas Reisz. "Bestehe die Sicherheitslücke aufgrund ei nes mangelhaften bzw. mangelhaft umgesetzten Sicherheits - und Datenschutzkonzepts, liegt ebenfalls ein Datenschutzverstoß vor." Bei Obi hat man den Ernst der Lage offenbar unterschätzt. "Mittlerweile befinden wir uns auch mit Herrn Pereira im direkten K ontakt", heißt es. Die Kommunikation und den Umgang mit Hinweisen zu Sicherheitsproblemen wolle man zukünftig optimieren. "Wir ergreifen konkrete Maßnahmen, um hilfreiche Erkenntnisse der IT - Community für beide Seiten bestmöglich zu nutzen", versichert das Unternehmen. Und auch Rewe bemüht sich um Schadensbegrenzung. Man versuche zu klären, warum der Warnhinweis verloren gegangen sei, schreibt ein Verantwortlicher der Supermarktkette an Pereira. Und hat bereits eine höfliche Bitte an den ethischen Hacker g erichtet: Ob der die Details zum Stopfen der Lücke nun bitte schicken könne? Lesen Sie auch: Fünf Angriffstaktiken von Hackern und wie man sich dagegen schützt Hielscher, Henryk Kuhn, Thomas