Das ergab die Analyse des chinesischen Webservers, auf dem sich die rund 56 000 Kombinationen aus E-Mail-Adresse und Passwort befinden. Betroffen sind rund  13 000 Datensätze von Kunden des Mail-Dienstes GMX, 12 000 Adressen stammen von Web.de. "Wir konnten noch nicht feststellen, wie viele Datensätze abhandengekommen sind", so PwC-Pressesprecher Oliver Heieck. "Es handelt sich aber um mehrere Zehntausend." Die Betroffenen seien inzwischen von PwC informiert worden.

Der Datendiebstahl war nur möglich, weil PwC zum einen die Bewerberdaten aus vergangenen Jahren auch bei längst abgeschlossenen Verfahren aufbewahrt hat. Das widerspricht den Datenschutzerklärungen des Unternehmens. Zum anderen waren die Passwörter in der Datenbank unverschlüsselt abgespeichert. Davon rät das Bundesamt für Sicherheit in der Informationstechnik (BSI) dringend ab: "Klartextinformationen sind auslesbar. Das ist nicht das, was man unter sicherer Datenhaltung und Speicherung verstehen kann", so Pressesprecher Matthias Gärtner.

Die Hacker haben, um auf die Konten der Finanzdienste zuzugreifen, E-Mail-Adressen und Passwörter durchprobiert. Ein Schutzmechanismus etwa bei Moneybookers, der einen automatisierten Angriff verhindern soll, wurde umgangen. Moneybookers räumte auf Anfrage ein, dass das Unternehmen ständig Angriffen ausgesetzt sei, eine Zunahme habe man aber nicht registriert.

Die Unternehmensberatung PwC hat Mitte vergangener Woche als Folge von "WISO"-Recherchen einen Diebstahl von Daten einräumen müssen, die aus einer Bewerberdatenbank stammen. "WISO" hat per E-Mail alle 56 000 Opfer des Datendiebstahls angeschrieben und gewarnt. Hacker gehen davon aus, dass viele Internet-Nutzer für verschiedene Dienste dieselbe Kombination aus E-Mail-Adresse und Passwort benutzen. Nach einer Umfrage unter den Betroffenen zu Recht: Rund 2000 von ihnen haben an einer Web-Umfrage teilgenommen, rund 80 Prozent gaben an, dasselbe Passwort für weitere Internet-Angebote genutzt zu haben. Etwa bei 50 Prozent der Betroffenen wurde der Zugang zum E-Mail-Postfach mit dem gestohlenen Passwort gesichert.

Der Bundesbeauftragte für Datenschutz, Peter Schar, fordert, dass Unternehmen im Fall von Datendiebstahl verpflichtet werden, Betroffene zu informieren: "Wir haben in der Vergangenheit immer wieder damit zu tun gehabt, dass Firmen versuchen, solche Vorfälle unter den Tisch zu kehren, um negative Publicity zu vermeiden. Die Folge ist, dass der Schaden größer wird, weil die Betroffenen nichts dagegen machen können." Beim Datenschutzgipfel am 4. September 2008 kam es zu keiner Einigung über eine gesetzliche Verankerung dieser Pflicht.

Quelle: ZDF