Liebe Forenteilnehmer,
für viele von euch ist es vermutlich eine kleine (oder sogar große) Überraschung, heute unerwartet diese lange Stellungnahme von uns hier vorzufinden und wir möchten uns deshalb als allererstes wertschätzend für die bisher erbrachte Geduld bedanken und wissen, dass es Manchen verständlicherweise gar nicht leicht gefallen ist, diese aufzubringen. Wir haben alle geschriebenen Beiträge stets aufmerksam verfolgt und uns ist eure Situation durchaus bewusst, weshalb wir hier nun die Gründe dafür erläutern wollen, die unser bisheriges Schweigen verursacht haben und wir möchten obendrein auch erklären, warum wir uns nun doch dazu entschieden haben, heute ein Statement zu veröffentlichen.
Den naheliegenden Vorwurf, dass wir nur abwarten wollten, bis irgendwann einfach Gras über die Sache gewachsen ist, möchte ich direkt mit dem Hinweis entkräften, dass diese Threads zum aktuellen Zeitpunkt durchaus bereits gewisse Einschlaftendenzen gezeigt haben (stark rückläufige Postfrequenz) und wir deshalb dafür wahrscheinlich tatsächlich nur noch etwas länger hätten warten müssen, jedoch diese Intention zu keinem Zeitpunkt verfolgt haben und die Threads gerade jetzt aktiv selber aufwärmen. Unser Schweigen hatte schlicht einen anderen Grund. Nachdem wir Ende April und Anfang Mai von einigen Kunden darauf aufmerksam gemacht worden sind, dass recht professionell gestaltete Phishing-Mails an nur für Bestellungen bei uns verwendete E-Mail-Adressen samt Klarnamen verschickt worden sind, haben wir umgehend Nachforschungen betrieben und konnten trotz eindeutiger Indizien und intensiver Tests unserer Produktiv-Systeme bis heute keine Schwachstelle ausfindig machen, die es unberechtigten Personen ermöglicht hätte, an sensible Kundendaten zu gelangen.
Auch wenn hier und in unseren anderen Support-Foren bereits einige Links zu Berichten über möglicherweise betroffene Sicherheitslücken von bestimmten Software-Anwendungen gepostet worden sind, können wir diese als für uns unzutreffend ausschließen. Unser vorheriger Onlineshop basierte zwar auf der Software XTCommerce, diese wurde jedoch so stark durch unsere eigenen Entwickler angepasst, dass sie mit dem Grundsystem nicht mehr viel gemein hatte. Im Zuge unserer Eigenentwicklungen haben wir dabei stets den Sicherheitsaspekt ganz nach vorne gestellt und unter anderem zahlreiche Lücken umgehend geschlossen, so wie sie immer wieder vereinzelt das XTCommerce Basis-System betreffend in der Presse kursierten.
Wir können jedem Kunden versichern, dass wir unsere Sicherheitsvorkehrungen stets auf dem neusten Stand halten und Caseking.de nach wie vor absolut sicher ist. Schon seit einigen Monaten vor unserem Shop-Relaunch unterstützen wir ausschließlich verschlüsselte HTTPS-Verbindungen mit TLS-Protokoll (dem verbesserten Nachfolger von SSL) und bieten damit höchste Sicherheit beim Einkauf. Einige Nutzerthreads in unseren Support-Foren bezeugen sogar, dass die Verschlüsselung augenscheinlich so hoch ist, dass sie bei Kunden mit bestimmten (ggf. veralteten) Browsern für Probleme gesorgt hat und die Verbindung sicherheitshalber blockiert wurde. Unsere Sicherheitsstandards kann hier jeder Interessierte selber testen und mit anderen Seiten vergleichen:
https://www.ssllabs.com/ssltest/analyze.html?d=caseking.de
Da unsere sehr gründlichen Untersuchungen also schlicht keine Datenabflüsse offenbart hatten, hat sich nach intensiver Prüfung aller Möglichkeiten nach einigen Tagen des Rätselns der Verdacht eingestellt, dass es zu einem internen Datendiebstahl durch eine/n bestimmte/n ehemalige/n Mitarbeiter/in - von dem/der wir uns offen gestanden nicht gütlich getrennt haben - gekommen sein kann und wir somit keineswegs Opfer einer Hacker-Attacke von außen geworden sind. Ironischerweise müssen wir hier jedoch die Regeln des Datenschutzes befolgen und können selbstverständlich keine konkreten Angaben zur verdächtigten Person machen, jedoch stand schnell fest, dass diese Person - so viel sei gesagt - sowohl ein Motiv als auch, im Rahmen ihrer Tätigkeit, Zugriff auf einige Daten unseres Kundenverwaltungssystems hatte.
Wir haben uns dann umgehend juristisch beraten lassen und seitdem versucht, Belege für unseren Verdacht zu finden, denn ohne konkrete Beweise kann sich dieser Verdacht nicht für eine Strafanzeige ausreichend erhärten. Wir haben also zunächst aus damit zusammenhängenden ermittlungstaktischen Gründen keine sofortige Stellungnahme veröffentlicht. Wir standen auch von Anfang an mit den Betreibern von Computerbase.de in engem Kontakt, die eingewilligt haben, ebenfalls von einer Veröffentlichung abzusehen, damit wir zu gegebener Zeit selber eine Stellungnahme abgeben können. Unser Ziel war es, die verdächtigte Person nicht direkt durch ein öffentliches Statement darauf hinzuweisen, dass wir ihr bereits auf den Versen sind und diesen Verdacht hegen. Wir wollten also völlig ahnungslos wirken und es war ferner unsere Hoffnung, dass wir bei später folgenden Phishing-Mails anhand der Art der darin verwendeten Daten Rückschlüsse auf die Zugriffsmethode in unserem Kundenverwaltungssystem und damit auf die Identität des vermeintlichen Datendiebes werden ziehen können.
Um absolut auf Nummer sicher zu gehen, haben wir trotzdem den ohnehin geplanten Launch unseres neuen Webshops Caseking 3.0 spontan um einen Monat vorgezogen, was man eventuell an einigen rauen Stellen hier und da auch gemerkt hat. Dabei handelte es sich jedoch nur um eine möglicherweise übertriebene Vorsichtsmaßnahme. Seitdem sind jedoch keine weiteren Phishing-Mails mehr aufgetaucht und somit haben sich in der Zwischenzeit auch keine neuen Anhaltspunkte ergeben können, während wir schweren Herzens die sich Bahn brechende Verärgerung hier in den Foren mitansehen mussten. Dies ist uns enorm schwer gefallen, da Caseking seit Anbeginn immer ein sehr kunden- und communityorientiertes Unternehmen war, bis heute ist und weiterhin sein möchte, weshalb wir jetzt schließlich den Entschluss gefällt haben, dass es sich nicht lohnt, noch länger zu warten, während sich treue Kunden von uns abwenden, weil wir zum Thema schweigen. Wir bitten deshalb für die lange Verzögerung um Verzeihung!
Für uns wäre es für dieses Statement nun deutlich einfacher, wenn wir die Sache einfach auf einen externen Hacker-Angriff schieben könnten, um dann darauf zu verweisen, dass weder unsere direkten Konkurrenten, noch globale Großkonzerne oder gar der Bundestag in der Vergangenheit gegen solche Angriffe gewappnet gewesen sind, jedoch möchten wir mit unseren Kunden ehrlich sein und hiermit verspätet über den leider nicht sonderlich zufriedenstellenden, weil bislang ungeklärten Stand der Dinge informieren, ohne im gleichen Atemzug eine/n Schuldige/n präsentieren zu können oder eine bestimmte Sicherheitslücke in der Software verantwortlich machen zu können. Uns ist ebenfalls klar, dass sich mit der Veröffentlichung dieser Stellungnahme möglicherweise die Chancen weiter reduzieren könnten, den/die Verantwortliche/n aufgrund weiterhin ausbleibender stichhaltiger Beweise ausfindig zu machen, und sich diese Straftat eventuell niemals aufklären wird. Wir geben unumwunden zu, dass in den allermeisten Fällen dieser Art der/die Täter/in nicht gefasst werden können. Es bleibt uns leider nichts anderes übrig, als das so offen zu sagen.
Es erscheint offensichtlich, dass es einen partiellen Datenabfluss gegeben hat und diese Daten anschließend vermutlich im Internet weiterveräußert worden sind. Jedoch ist nach aktueller Kenntnislage bei weitem nicht jeder, sondern nur ein Bruchteil unserer Kunden betroffen. Auch wenn wir alle in sämtlichen Supportforen und bei uns per E-Mail eingegangenen Meldungen (etwa 100) um eine zehnfach höher liegende Dunkelziffer vergrößern, entspricht das nur einem sehr kleinen Teil unserer Gesamtkundenzahl. Wir vermuten deshalb, dass der Datenzugriff recht früh gestört wurde und die Daten nicht vollständig abgegriffen worden sind. Möglicherweise wusste der/die verdächtigte Ex-Mitarbeiter/in auch nicht genau, wie vorzugehen ist und hat es falsch gemacht. (Wir haben seitdem selbstredend alle internen Passwörter gewechselt und andere Vorkehrungen getroffen, um solche Vorkommnisse in Zukunft effektiv zu verhindern.)
Am Ende läuft es jedoch darauf hinaus, dass sich einige Daten in der Welt im Umlauf befinden und nicht mehr zurückgeholt werden können, jede andere Behauptung wäre naiv. Die genaue Anzahl Betroffener ist uns leider unbekannt. In Anbetracht der beschränkten Zugriffsrechte der verdächtigten Person und der Art der in den Phishing-Mails verwendeten Daten (Name und E-Mail-Adresse) gehen wir allerdings davon aus, dass zusätzlich zu den reinen Adressdaten ggf. noch Bestelldaten entwendet worden sein könnten, aber vielleicht auch nicht und mehr jedoch in keinem Fall. Wir können versichern, dass garantiert keine Passwörter, Passwort-Hashes oder gar Bankdaten betroffen sind und das deshalb zu 100% ausschließen, weil diese stark verschlüsselt (nicht zu knacken) auf einem separaten, extra gesicherten Server gespeichert werden, auf den nur wenige Mitarbeiter überhaupt Zugriff haben und die verdächtigte Person zählt nicht zu diesem erlesenen Kreis. Diese Daten können deshalb zu keinem Zeitpunkt abgegriffen worden sein.
Eine Änderung des Nutzerpasswortes bei uns ist also nicht nötig und deshalb gibt es von uns auch keine solche Aufforderung. Wären Passwörter jemals entwendet worden, hätten wir das anhand entsprechender Missbrauchsfälle (z. B. unberechtigte Einkaufsversuche) auch sofort gemerkt, es gab und gibt jedoch keinen Einzigen. Wir möchten hier ebenfalls Entwarnung bezüglich anderer Zahlungsarten, wie etwa Kreditkartendaten oder PayPal-Logins, geben, denn diese werden bei uns ohnehin zu keinem Zeitpunkt gespeichert, weil diese Zahlungsarten im Allgemeinen nicht so funktionieren, dass sie irgendeine Speicherung erforderlich machen würden, sondern direkt über die jeweiligen Zahlungsdienstleister abgewickelt werden. Ein schwacher Trost ist also vielleicht, dass somit bis auf die E-Mail-Adressen nur eher weniger relevante Daten betroffen sind, die ein normaler Mensch im Alltag ohnehin an sehr vielen Stellen preisgibt und durch viele Unternehmen so oder so von Meldeamtsdaten (Stichwort Meldegesetz) jederzeit legal abgefragt werden können.
Uns ist allerdings auch klar, dass das nicht jeder Betroffene so locker sehen wird und das es jeder für sich selbst bewerten muss. Für ein Unternehmen ist so ein Vorfall zweifellos immer ein Super-GAU bei dem reale Arbeitsplätze bzw. ganze Existenzen unschuldiger Mitarbeiter auf dem Spiel stehen und wir gestehen offen, dass wir vor den Reaktionen eine gewisse Angst haben, jedoch schier machtlos zusehen müssen, was nun passiert. Wir sind - genau wie einige unserer Kunden - schlicht Opfer eines Verbrechens geworden und haben selbstverständlich kein Interesse daran unseren Kunden jemals in irgendeiner Form zu schaden. Der irgendwo in den Foren auch einmal geäußerte Gedanke, dass wir unsere Kundendaten illegal selber verkaufen würden, um daraus irgendwie Profit zu schlagen, ist so absurd und abwegig, dass es jeglicher Grundlage entbehrt. Es ist aber auch nachvollziehbar, dass es bei derartigen Vorkommnissen schnell zu tiefem Misstrauen gegenüber einem Unternehmen kommen kann und wir hoffen zumindest inständig, dass die Offenheit in diesem Statement dem etwas entgegenwirken kann.
Wir bitten alle Betroffenen dafür um Entschuldigung, dass sich derartige Probleme ereignet haben, die wir leider nicht verhindern konnten.
Das Caseking-Team
PS. Es ist vielleicht unnötig es noch extra zu erwähnen, aber sollte es zu einer neuen Phishing-Attacke kommen - sollte sie je erfolgen - werden wir es zwar sofort selber bemerken (es sind auch Mitarbeiter von uns betroffen gewesen), aber es ist dann natürlich sehr hilfreich, wenn Empfänger solcher E-Mails ihre Exemplare samt kurzer Erklärung an uns weiterleiten würden (an
info@caseking.de), damit wir die Mails dann auch untersuchen können, meistens reicht es jedoch schon aus, eine einzige davon gesehen zu haben, da sich deren Aufbau bislang nicht unterschieden hat.
