> > > > Kommentar: Datenpanne bei Mastercard – der Schaden ist unbezahlbar!

Kommentar: Datenpanne bei Mastercard – der Schaden ist unbezahlbar!

Veröffentlicht am: von

mastercard logoDass das Internet so einige Gefahren birgt, war mir durchaus bekannt. Seit jeher setze ich daher auf starke Passwörter mit vielen Zeichen, Sonderzeichnen und Ziffern, verwende für jeden Dienst ein eigenes Kennwort und gehe auch sonst sparsam mit meinen persönlichen Daten um. Selbst in den sozialen Netzwerken entscheide ich vor jedem Post, wer diesen später einsehen darf. Ich wägte mich in Sicherheit – nun hat es mich jedoch erwischt und das ziemlich heftig, wie ich finde.

An geleakte Zugangsdaten, die aus Kennwort und der dazugehörigen E-Mail-Adresse bestehen, habe ich mich bedauerlicherweiße fast schon gewöhnt, wenngleich mich diese nur selten betrafen. Hier und da kamen vielleicht noch der volle Vor- und Zuname sowie das Geburtsdatum hinzu. Sicher, das ist nicht gerade schön, die potentielle Gefahr hält sich jedoch in Grenzen und ist vor allem schnell wieder aus der Welt geschafft. Doch es geht auch anders, wie die neuste Datenpanne beweist.

90.000 Kreditkartennummern geklaut

Am Montagnachmittag tauchte auf einer bekannten Schnäppchen-Plattform ein rund 90.000 Zeilen starker Datensatz auf, der äußerst sensible Kundendaten enthält. Neben E-Mail-Adressen, Geburtsdaten und Kundennamen finden sich darin teilweise auch vollständige Adressdaten, Telefonnummern und sogar Kreditkartendaten. Zwar waren Letztere in einer ersten Version bis auf die letzten vier Ziffern unkenntlich gemacht, doch ob diejenigen, die unerlaubt an die Daten gekommen sind, den vollständigen Datensatz besitzen, war bis dahin unklar. Inzwischen herrscht unschöne Gewissheit: Im Internet kursiert ein zweiter Datensatz mit den vollständigen Ziffern.

Die Datenpanne betrifft Kunden von Mastercard, die das Bonusprogramm "Mastercard Priceless Specials" genutzt haben. Darin konnten Inhaber einer Mastercard mit jeder Kreditkarten-Transaktion Punkte sammeln, die dann gegen Gutscheine von Tui, Deliveroo, Sixt, Tchibo und vielen weiteren Partnern eingetauscht werden konnten.

Um mit den geleakten Daten letztendlich Schaden anrichten zu können, braucht es jedoch weitere Daten, wie das Ablaufdatum und die CVC-Sicherheitsnummer, die beide auf der jeweiligen Kreditkarte abgedruckt sind. Ob auch diese in die Hände der Kriminellen gelangt sind, ist zwar unwahrscheinlich, aber nicht vollständig auszuschließen. 

Mastercard selbst hat das Portal inzwischen abgestellt, hält sich mit handfesten Informationen jedoch sehr zurück. Betroffene Kunden wie mich hat das Unternehmen erst heute Nacht und damit mehr als zwei Tage nach Bekanntwerden des Leaks benachrichtigt. Für ein solch großes Unternehmen, das immerhin die Nummer Zwei im Zahlungsgeschäft ist, und in einer durchaus sicherheitsbedachten Branche agiert, ist das mehr als bedenklich. 

Für mich als journalistisch tätigen und technikversierten Internet-Nutzer ist das weniger schlimm, doch nicht jeder Kunde entspricht diesem Profil. Ich bin schnell auf den Leak gestoßen, konnte bereits Gegenmaßnahmen ergreifen und bin damit anderen Kunden im Vorteil, die bis vor Kurzen noch nicht einmal darüber Bescheid wussten. Besitzer einer Mastercard empfehle ich daher den "Identity Leak Checker" des Hasso-Plattner-Instituts (HPI) anzuwerfen, um zu überprüfen, ob man nicht ebenfalls Opfer des Leaks geworden ist.

Ich hatte es bereits geahnt

Dass meine private Handynummer irgendwo im Internet aufgetaucht sein müsste, das hat ich schon länger vermutet. In den letzten Tagen plagten mich immer wieder nervige Werbeanrufe dubioser Firmen. Die eine gratulierte mir zu irgendeinem Hauptgewinn eines Gewinnspiels, an dem ich nie teilgenommen hatte, die andere wollte, dass ich mit dem Handel von Kryptowährung schnell reich werde.

Anfangs machte ich mir einen Spaß daraus, bat den Anrufer sich kurz zu gedulden, weil ich etwas auf dem Herd stehen hätte. Tatsächlich schaltete ich das Mikrofon stumm und legte das Smartphone beiseite, während ich mich wieder den wichtigen Dingen des Lebens zuwandte. Teilweise leitete ich die Anrufe einfach an den Telefonpaul weiter, ein Dienst, der dem Anrufer schnell klar macht, dass er unerwünscht ist. Irgendwann wurde es jedoch auch mir zu dumm und ich drückte die vermeintlichen Werbeanrufe aus Österreich einfach weg. Als ich dann jedoch binnen Sekunden erneut mit neuer Nummer angerufen wurde, griff ich wieder zur Stummschalt-Methode. Inzwischen ist eine App, die bekannte Werbenummern automatisch blockiert, auf meinem Smartphone installiert. Sie sorgt für weniger Stress.

Kaum dachte ich, das Problem in den Griff bekommen zu haben, erfahre ich, dass sich auch ein Teil meiner Kreditkartendaten im Netz befindet. Nun also durfte ich mich auch darum kümmern und die entsprechende Mastercard, die obendrein bei vielen Online-Diensten und Internet-Händlern meines Vertrauens hinterlegt war, sperren und mich um einen Austausch kümmern. Derweil hatte ich sogar Glück: Meine Karte wurde anstandslos und für mich kostenfrei ersetzt. Das ist nicht bei allen Kunden so, denn in vielen Foren berichten Betroffene, dass sie teilweise bis zu 27 Euro für den Austausch ihrer Kreditkarte bezahlen mussten.

Zugegeben: Die Werbeanrufe müssen nicht in Zusammenhang mit dem Mastercard-Leak stehen, von einem Weiterverkauf meiner Daten gehe ich aber mit ziemlicher Sicherheit aus.

Die Folgen

Ich glaube nicht, dass ich aufgrund der Mastercard-Datenpanne finanziellen Schaden erleiden werde, werde jedoch vor allem in den nächsten Wochen wachsamer denn je sein. Betrüger könnten mich mit Phising-Mails bombardieren, um auch an die vermutlich fehlenden Datensätze zu gelangen. Vielleicht ruft mich ein Sparkassen-Mitarbeiter an, wo ich schon seit vielen Jahren kein Konto mehr habe. Die potentielle Angriffsfläche ist größer denn je. Selbst gefälschte Briefe könnten mich ereilen.

Die entsprechende Kreditkarte ist seit Montagnachmittag gesperrt und dürfte bereits in den kommenden Tagen ersetzt sein. Dann ist die alte Nummer endgültig wertlos. Sobald die Daten überall geändert sind, geht es zumindest hier so weiter wie bislang. Auch wenn Mastercard selbst bereits bekräftigte, dass das Zahlungssystem davon nicht betroffen sei, bleibt bei mir beim Blick in den Geldbeutel ein mulmiges Gefühl bestehen: Mehr als die Hälfte meiner Zahlkarten steht in irgendeiner Verbindung mit Mastercard.

Ob ich meine Rufnummer wechseln werde, wird die Zeit zeigen. Halten sich die Werbeanrufe in Grenzen, ist es mir der Aufwand nicht wert, diese zu wechseln – nicht nur, weil ich all meinen Kontakten die neue Nummer zukommen lassen und neue Visitenkarten in Auftrag geben müsste, sondern auch weil viele Dienste über den zweiten Faktor Rufnummer abgesichert sind. Da kommt schnell einiges zusammen! Und dann sind da schließlich noch die Kosten, die mein Mobilfunkbetreiber für den einmaligen Service haben möchte. Diese werde ich womöglich nicht bei Mastercard einreichen können. Ich bin nicht panisch, wohl aber enttäuscht und traurig.

Für Mastercard bedeutet der Datenverlust vor allem dieses: Vertrauensverlust deutscher Kunden und ein riesiger Imageschaden. Um es mit den Worten des Konzerns zu sagen: Der Schaden ist unbezahlbar. Priceless eben!

Ein Kommentar von Andreas Stegmüller. Die Ausführungen spiegeln nicht zwangsläufig die Meinung der gesamten Redaktion wider.