Wer den Schaden hat und Spott und so, sie wissen schon… Die Wirtschaftsprüfungsgesellschaft Pricewaterhouse Coopers (PWC) hat keinen großen finanziellen Schaden, aber eine gewaltige Delle im Image.
Sie beauftragte einen Dienstleister mit einer Datenbank für Bewerber. Von denen wurden die E-Mail-Adressen und Passworte gespeichert, also die Zugangsdaten zu diesem Angebot. Die Datenbank ist gehackt worden, wie das ZDF-Magazin „Wiso“ entdeckte.
Das Speicher unverschlüsselter Passworte ist dabei ein Anfängerfehler. Noch skandalöser – möglicherweise sogar justiziabel – aber ist das Speichern der Daten über Jahre hinweg.
Da muss man sich schon fast eine zynische Frage stellen: Hat PWC Budget-Probleme? Schließlich veröffentlichte das Unternehmen vor zwei Jahren eine Studie zum Thema Datenschutz. Überschrift:
„Informationssicherheit scheitert meist am begrenzten Budget“
Kommentare
ich 4. September 2008 um 16:04
Wie schlecht geht es PWC? Was ist das denn wieder für eine Polemik. Bei PWC lacht man doch über so eine Panne, das ist in zwei Tagen doch längst wieder vergessen. Da konzentriert man sich lieber auf Geld verdienen.
mariana mayer 4. September 2008 um 17:18
Zitat HB: Die gestohlenen Daten lagen dabei nicht auf Rechnern von PWC selbst: Die Gesellschaft hatte einen Dienstleister beauftragt mit einer Datenbank, bei der sich Jobsuchende anmelden konnten
die üblichen Outsourcing Probleme, immer wieder Mängel durch Dienstleister die keine Ausbildung erhalten, oder machen die das extra? (So wie In Großbritannien ständig Skandal bekannt werden.)
Das ganze scheint gut durchorganisiert zu sein. Oder ist es Zufall?
Kommentator 4. September 2008 um 19:34
Personal- und IT-Abteilung werden sich eine Menge unbequemer Fragen gefallen lassen müssen. Die Personalabteilung weil Sie beauftragt hat, einen Dienstleister in Anspruch zu nehmen. Die IT-Abteilung weil Sie deren System bei der Beauftragung checken muss,ob es fehlerfrei und sicher ist.Passwörter entschlüsselbar auf einer Datenbank zu lagern ist, vorsichtig ausgedrückt, diletantisch. Das MUSS IT-Profis vorher auffallen. Einige Köpfe bei PwC werden sicherlich rollen.
Das Image der Company hat mächtig Schaden genommen. Gerade einer Top-Beratung darf so ein Diletantismus nicht passieren. Sonst würde sie sich nicht \“Beratung\“ schimpfen. Schließlich halten PWCler täglich irgendwo Vorträge über Datensicherheit.
shore 5. September 2008 um 13:29
Also das ist uücklich gelaufen. Allerdings hat man sich wenigstens ehrlich dazu bekannt nach Bekanntwerden und zugegeben, dass es extrem schwach war, siehe bei Robert Basic. Das ist allemal besser als es auf den Dienstleister zu schieben und zu versuchen da raus zu kommen.
So wird Unternehmenskommunikation doch immer gefordert, Fehler passieren, leider auch sehr blamable, aber dann soll man dazu stehen. All das ist doch positiv anzumerken.
Und zu dem skandalös langen Speichern. Bei der Anmeldung wird extra darauf hingewiesen, dass diese Daten lange, auch über die Bewerbugnszeit hinaus, gespeichert werden, wenn man das möchte. Ist auch nicht irgendwo im Kleingedruckten sondern ganz dick geschrieben. Wenn man das nicht möchte, kann man jederzeit die Daten selbständig löschen mir nur einem (bzw mit bestätigen zwei) Klicks. Ansonsten kann ich als Bewerber nur angenehm darauf hinweisen, dass ich, so lange ich es unter Kontrolle habe und auch bei BEdarf löschen kann, die Daten gerne gespeichert lasse. Ist nützlich, falls man ein Jahr später doch noch sich bewerben möchte oder wechseln oder oder oder. Und so lange der Bewerber darüber Bescheid weiß, ist doch alles in Butter. Und von jedem PwC-Mitarbeiter, der sich über das Portal bewirbt, erwarte ich, dass er die Message leist und versteht (ist übrigens auch in klarem nicht juristen deutsch geschrieben).
Also ist es dumm, sehr dumm gelaufen, aber daraus jetzt einen Strick zu drehen halte ich doch für sehr weit hergeholt.
lupe 5. September 2008 um 15:54
Heißt das Sprichwort: Wer den Spott hat, kann damit ganz schön Schaden anrichten?
Sven Visser 8. September 2008 um 10:04
Ich frage mich als Betroffener grundsätzlich, ob PwC mit all seinen Daten derart fahrlässig umgeht. Einem Unternehmen von Weltruf, die sich in der Tat Datensicherheit als eines der Kardinalprobleme der gesamten Internet-Bewegung auf die Fahne geschrieben haben, darf so etwas nicht passieren. Andererseits bleibt zu hoffen, dass die nächste PwC Schlagzeile nicht noch weitere \’Outsourcing-Probleme\‘ offen legt.
Lobo 8. September 2008 um 15:07
Das geile daran fand ich ja die folgende email, die ich von denen erhielt:
\“aus aktuellem Anlass möchten wir Sie darüber informieren, dass unbekannte
Daten-Hacker einen Angriff auf eine externe Servicedatenbank für
Jobsuchende durchgeführt haben. […]\“
Interessant daran ist, ich habe mich nie bei PWC beworben, ja, ich hab mich bei gewissen Stellenbörsen eingeschrieben, aber nirgends stand, das die Daten an PWC weitergereicht werden. Fand ich ja mal SEHR interessant
and_arbeit 8. September 2008 um 22:14
Die Informationspolitik ist schlicht katastrophal. zugegeben wird, was nicht mehr zu vertuschen ist. Das mail mit der Info von PWC kam erst am Freitag. Das ZDF hatte mich schon Mittwoch Abend angemailt. Es wird auch nicht zugegeben, dass Klartextpasswörter dort herumliegen, sondern die Datenbank sei verschlüsselt gewesen. Meine Bitte auf sofortige und vollumfängliche Löschung meiner Daten dort wurde bislang nicht reagiert.
Und falls es wirklich zutreffend sein sollte, dass die Seite des externen Anbeiters wirklich schon im Februar Zeil eines Angriffes war und man das lieber totgeschwiegen hat…
Die Wahrheit kommt scheibchenweise, das ist keine kluge Informationspolitik.
RK 10. September 2008 um 10:17
Um die Polemik und all die Sticheleien mal beseite zu lassen, hier ein lösungsorientierter Hinweis:
PwC hat eine Hotline für alle Betroffenen eingerichtet bei der Rat und Hilfe angeboten wird. Aus meinem Bekanntenkreis waren auch zwei Freunde betroffen und die sind seit dem Telefonat wieder glücklich.
Interessant was die Beiträge hier an Gerüchte in die weite Welt streuen. Da hat wohl der eine oder andere hier ein verstärktes Geltungsbedürfnis.