Zum Inhalt springen
Video
Sicherheitslücke bei Starbucks: ungeschützte Kundendaten
Aus Kassensturz vom 04.12.2018.
abspielen. Laufzeit 10 Minuten 1 Sekunde.

WLAN-Panne Sicherheitslücke bei Starbucks: ungeschützte Kundendaten

Das Wichtigste in Kürze

  • Weil das Starbucks-WLAN zu wenig geschützt ist, gelangt ein Experte mit einfachsten Mitteln an Namen, Telefonnummern und E-Mailadressen von Kunden.
  • Die Daten reichen aus, um Personen eindeutig zu identifizieren. Sie könnten auch benutzt werden, um im Internet illegale Handlungen vorzunehmen.
  • Die im Experiment gehackten Starbucks-Kunden reagieren schockiert, als «Kassensturz» sie mit den «ergaunerten» Daten konfrontiert.
  • Starbucks hat inzwischen reagiert und das Datenleck nach eigenen Angaben gestopft.
Audio
Sendevorschau zum Thema
aus Espresso vom 04.12.2018. Bild: SRF
abspielen. Laufzeit 3 Minuten 1 Sekunde.

Das kostenlose WLAN-Netz von Starbucks ist beliebt und wird von sehr vielen Kunden genutzt. Doch es ist nicht sicher, wie ein Hacking-Experiment zeigt. «Kassensturz» arbeitet dafür mit José Garduño zusammen, Mitarbeiter der Cyber-Security-Firma Dreamlab. Firmen beauftragen ihn, um in ihre Datennetze einzudringen und so mögliche Schwachstellen aufzudecken.

Schnell und einfach an private Kundendaten

Vor der Starbucks-Filiale auf dem Berner Waisenhausplatz zeigt der Hacker «Kassensturz», wie viele Personen im WLAN eingeloggt sind und wie viele Daten sie momentan brauchen. Mit einer Gratis-App kann er auf einfachste Weise die sogenannte MAC-Adresse der Nutzer herausfinden. «Mit dieser Adresse wiederum kann ich alle Daten ergattern, welche die Kunden eingegeben haben.»

Mit der Kombination aus Name, E-Mail-Adresse und Handynummer lässt sich eine Person eindeutig identifizieren. «Mit böser Absicht könnten wir jetzt gesetzeswidrige Handlungen im Internet im Namen dieser Person vornehmen.

Was halten Sie davon?

Box aufklappenBox zuklappen
Was halten Sie davon?

Schreiben Sie uns direkt ins Kommentarfeld!

Betroffen reagieren schockiert

Innert kürzester Zeit kommt er an die Personalien mehrerer WLAN-Nutzer in der Starbucks-Filiale. Darunter auch an die des 20-jährigen Jannik. Ihn ruft der «Kassensturz»-Reporter vor Ort auf sein Handy an. Der junge Mann reagiert sichtlich schockiert: «Krass, dass das so einfach möglich ist! Ich habe gemeint, das Starbucks-Netz sei sicher.»

Auch die 25-jährige Ileanna reagiert verstört, als sie der «Kassensturz»-Reporter an ihrem Tisch mit Namen anspricht. «Das ist unheimlich. Ihr wisst, wie ich aussehe, wie ich heisse und dass ich hier sitze. Ich bin schockiert.» Auch sie war für «Kassensturz» mit all ihren Daten sichtbar.

Video
Ileanna: «Das ist beängstigend.»
Aus Kassensturz vom 04.12.2018.
abspielen. Laufzeit 19 Sekunden.

Starbucks erfüllt Datenschutz nicht

Das Datenschutzgesetz schreibt klar vor: Ein WLAN-Betreiber muss die Daten vertraulich behandeln und deren Integrität sowie deren Schutz gewährleisten. Starbucks erfüllte diese Kriterien bis anhin offensichtlich nicht.

Starbucks: «Sicherheitslücke geschlossen»

«Kassensturz» und die Firma Dreamlab haben Starbucks über die Sicherheitslücke informiert. Man nehme das Thema sehr ernst, teilt das Unternehmen mit. «In diesem Fall gibt es keinen Hinweis darauf, dass Daten unserer Gäste kompromittiert wurden.»

Starbucks hat inzwischen eine neue WLAN-Lösung implementiert, welche keinen Zugriff auf die persönlichen Daten der Kunden zulässt. Nutzer, die vermuten, ihre Daten könnten kompromittiert worden sein, könnten sich an den Kundendienst wenden.

Video
Marc Peter, Professor für Digitale Transformation
Aus Kassensturz vom 04.12.2018.
abspielen. Laufzeit 23 Sekunden.

Experte: «Vorsicht bei öffentlichen WLAN-Netzen»

Marc Peter, Geschäftsleitungsmitglied von Dreamlab und Professor für Digitale Transformation, bezeichnet Gratis-WLAN-Netze als kritisch bezüglich Sicherheit. «Die öffentlichen WLANs sind als eher unsicher anzusehen. Speziell im Ausland würde ich diese nicht nutzen. Ich würde sogar raten, keine solchen für den Versand von sensiblen Daten zu verwenden, und stattdessen mit Datenpaketen seines Telekommunikationsanbieters zu arbeiten.»

Verordnung zum Bundesgesetz über den Datenschutz

Box aufklappenBox zuklappen

Art. 8 Allgemeine Massnahmen

1 Wer als Privatperson Personendaten bearbeitet oder ein Datenkommunikationsnetz zur Verfügung stellt, sorgt für die Vertraulichkeit, die Verfügbarkeit und die Integrität der Daten, um einen angemessenen Datenschutz zu gewährleisten. Insbesondere schützt er die Systeme gegen folgende Risiken:

a. unbefugte oder zufällige Vernichtung;

b. zufälligen Verlust;

c. technische Fehler;

d. Fälschung, Diebstahl oder widerrechtliche Verwendung;

e. unbefugtes Ändern, Kopieren, Zugreifen oder andere unbefugte Bearbeitungen.

Quelle: www.admin.ch, Link öffnet in einem neuen Fensterim Browser öffnen

Video
Studiogespräch mit Marc K. Peter, Professor für digitale Transformation
Aus Kassensturz vom 04.12.2018.
abspielen. Laufzeit 5 Minuten 38 Sekunden.
Jederzeit top informiert!
Erhalten Sie alle News-Highlights direkt per Browser-Push und bleiben Sie immer auf dem Laufenden.
Schliessen

Jederzeit top informiert!

Erhalten Sie alle News-Highlights direkt per Browser-Push und bleiben Sie immer auf dem Laufenden. Mehr

Push-Benachrichtigungen sind kurze Hinweise auf Ihrem Bildschirm mit den wichtigsten Nachrichten - unabhängig davon, ob srf.ch gerade geöffnet ist oder nicht. Klicken Sie auf einen der Hinweise, so gelangen Sie zum entsprechenden Artikel. Sie können diese Mitteilungen jederzeit wieder deaktivieren. Weniger

Sie haben diesen Hinweis zur Aktivierung von Browser-Push-Mitteilungen bereits mehrfach ausgeblendet. Wollen Sie diesen Hinweis permanent ausblenden oder in einigen Wochen nochmals daran erinnert werden?

Meistgelesene Artikel