Daten-GAU bei E-Mail-Marketer
Kundenadressen von über 40 Unternehmen in Hackerhand
 |
Spam-Angriff: Nach E-Mail-Datenleck zu befürchten (Foto: pixelio.de, Antje Delater) |
Irving/Montreal/Berlin (pte012/05.04.2011/12:00) Der E-Mail-Service-Provider (ESP) Epsilon http://www.epsilon.com ist Ende März Opfer einer Hacker-Attacke geworden, bei der Kundendaten etlicher Unternehmen in falsche Hände geraten sind. Der E-Mail-Marketer hält sich weitgehend bedeckt, doch hat sich im Laufe des gestrigen Tages das Ausmaß des Datenlecks herauskristallisiert. Über 40 Unternehmen, darunter Großbanken, Handelsketten sowie Hotel-Treueprogramme sind betroffen. Die Anti-Spam-Organisation CAUCE http://cauce.org spricht vom "Fukushima der E-Mail-Industrie".
"Ein Datenleck in dieser Größenordnung ist sicher ein ernstes Problem", meint Sascha Krieger, Sprecher des E-Mail-Sicherheitsanbieter eleven http://www.eleven.de , gegenüber pressetext. Er betont zwar, dass es nur eine von vielen Methoden ist, wie Spammer und Phisher an Adressen kommen. "Die Datenbanken von ESPs sind ein begehrtes Ziel, zum einen, weil die Daten dort bereits validiert sind, zum anderen, weil sie in der Regel gezielte Kampagnen erlauben", fährt der eleven-Sprecher aber fort.
Daten-Desaster
Epsilon zufolge haben die Angreifer beim Leck nur E-Mail-Adressen und Namen, aber keine weiteren persönlichen Daten erbeutet. Zudem seien nur rund zwei Prozent der Epsilon-Kunden betroffen, was rund 50 Unternehmen vermuten lässt. Der Dienstleister schweigt zu Details, doch haben viele Firmen Warnungen an ihre Kunden herausgegeben. Betroffen sind unter anderem American Express, die Bank JPMorgan Chase, die Handelsketten Best Buy und Target sowie die Treueprogramme der Hotelketten Hilton, Marriott und Ritz-Carlton - was wohl auch Daten internationaler Geschäftsreisender umfasst.
Neil Schwartzman, Vorsitzender von CAUCE Nordamerika, warnt, dass der Daten-GAU gezielte, sogenannte Spear-Phishing-Angriffe zum Klau sehr spezifischer Informationen begünstigen wird. "Für Spear-Phishing sind zusätzliche Daten sinnvoll. Es kann es aber auch ausreichen, Daten aus einer Datenbank mit sehr spezifischer Zielgruppe zu gewinnen", meint dazu Krieger. Da bei Epsilon zumindest in der Regel nur E-Mail-Adressen und Namen nach außen gedrungen sind, hält er aber Spam und klassisches Phishing aber für wahrscheinlicher.
Nötige Lehren
Schwartzmann fordert angesichts des Datenlecks, dass speziell ESPs mehr in Sicherheit investieren. Denn die entsprechenden Ressourcen sind oft unzureichend - so, wie in Unternehmen allgemein (pressetext berichtete: http://pressetext.com/news/100731001/). Unter anderem sollen ESPs laut CAUCE-Vorstand jedenfalls Zwei-Faktor-Authentifizierung für den Zugang zu ihren Systemen nutzen. Zudem will er, dass sich Anbieter wie Epsilon bei Datenlecks in Zukunft zu einer vollständigen Offenlegung verpflichten.
"Wichtiger ist die Empfängerseite, da es noch viele andere Möglichkeiten gibt, an E-Mail-Adressen für Spam- und Phishing-Kampagnen zu kommen", betont indes Krieger. Daher ist entscheidend, das Ankommen solche E-Mails zu verhindern. "Ein Schutz vor Spam und Phishing mit einer Erkennungsrate von über 99 Prozent sollte höchste Priorität haben." Dafür wie von Schwartzmann gefordert auch "False Positives" in Kauf zu nehmen, sei aber nicht sinnvoll. "Der Schaden, der Unternehmen entstehen kann, wenn wichtige E-Mails wie z. B. Aufträge oder Angebote nicht ankommen, ist kaum zu beziffern", warnt der eleven-Sprecher.
(Ende)| Aussender: | pressetext.redaktion |
| Ansprechpartner: | Mag. Thomas Pichler |
| Tel.: | +43-1-81140-303 |
| E-Mail: | pichler@pressetext.com |
| Website: | pressetext.com |
