Das Wichtigste in Kürze
- Weil das Starbucks-WLAN zu wenig geschützt ist, gelangt ein Experte mit einfachsten Mitteln an Namen, Telefonnummern und E-Mailadressen von Kunden.
- Die Daten reichen aus, um Personen eindeutig zu identifizieren. Sie könnten auch benutzt werden, um im Internet illegale Handlungen vorzunehmen.
- Die im Experiment gehackten Starbucks-Kunden reagieren schockiert, als «Kassensturz» sie mit den «ergaunerten» Daten konfrontiert.
- Starbucks hat inzwischen reagiert und das Datenleck nach eigenen Angaben gestopft.
Das kostenlose WLAN-Netz von Starbucks ist beliebt und wird von sehr vielen Kunden genutzt. Doch es ist nicht sicher, wie ein Hacking-Experiment zeigt. «Kassensturz» arbeitet dafür mit José Garduño zusammen, Mitarbeiter der Cyber-Security-Firma Dreamlab. Firmen beauftragen ihn, um in ihre Datennetze einzudringen und so mögliche Schwachstellen aufzudecken.
Schnell und einfach an private Kundendaten
Vor der Starbucks-Filiale auf dem Berner Waisenhausplatz zeigt der Hacker «Kassensturz», wie viele Personen im WLAN eingeloggt sind und wie viele Daten sie momentan brauchen. Mit einer Gratis-App kann er auf einfachste Weise die sogenannte MAC-Adresse der Nutzer herausfinden. «Mit dieser Adresse wiederum kann ich alle Daten ergattern, welche die Kunden eingegeben haben.»
Mit der Kombination aus Name, E-Mail-Adresse und Handynummer lässt sich eine Person eindeutig identifizieren. «Mit böser Absicht könnten wir jetzt gesetzeswidrige Handlungen im Internet im Namen dieser Person vornehmen.
Schreiben Sie uns direkt ins Kommentarfeld!
Betroffen reagieren schockiert
Innert kürzester Zeit kommt er an die Personalien mehrerer WLAN-Nutzer in der Starbucks-Filiale. Darunter auch an die des 20-jährigen Jannik. Ihn ruft der «Kassensturz»-Reporter vor Ort auf sein Handy an. Der junge Mann reagiert sichtlich schockiert: «Krass, dass das so einfach möglich ist! Ich habe gemeint, das Starbucks-Netz sei sicher.»
Auch die 25-jährige Ileanna reagiert verstört, als sie der «Kassensturz»-Reporter an ihrem Tisch mit Namen anspricht. «Das ist unheimlich. Ihr wisst, wie ich aussehe, wie ich heisse und dass ich hier sitze. Ich bin schockiert.» Auch sie war für «Kassensturz» mit all ihren Daten sichtbar.
Starbucks erfüllt Datenschutz nicht
Das Datenschutzgesetz schreibt klar vor: Ein WLAN-Betreiber muss die Daten vertraulich behandeln und deren Integrität sowie deren Schutz gewährleisten. Starbucks erfüllte diese Kriterien bis anhin offensichtlich nicht.
Starbucks: «Sicherheitslücke geschlossen»
«Kassensturz» und die Firma Dreamlab haben Starbucks über die Sicherheitslücke informiert. Man nehme das Thema sehr ernst, teilt das Unternehmen mit. «In diesem Fall gibt es keinen Hinweis darauf, dass Daten unserer Gäste kompromittiert wurden.»
Starbucks hat inzwischen eine neue WLAN-Lösung implementiert, welche keinen Zugriff auf die persönlichen Daten der Kunden zulässt. Nutzer, die vermuten, ihre Daten könnten kompromittiert worden sein, könnten sich an den Kundendienst wenden.
Experte: «Vorsicht bei öffentlichen WLAN-Netzen»
Marc Peter, Geschäftsleitungsmitglied von Dreamlab und Professor für Digitale Transformation, bezeichnet Gratis-WLAN-Netze als kritisch bezüglich Sicherheit. «Die öffentlichen WLANs sind als eher unsicher anzusehen. Speziell im Ausland würde ich diese nicht nutzen. Ich würde sogar raten, keine solchen für den Versand von sensiblen Daten zu verwenden, und stattdessen mit Datenpaketen seines Telekommunikationsanbieters zu arbeiten.»
