Zum Inhalt springen
Inhalt

WLAN-Panne Sicherheitslücke bei Starbucks: ungeschützte Kundendaten

Legende: Video Sicherheitslücke bei Starbucks: ungeschützte Kundendaten abspielen. Laufzeit 10:01 Minuten.
Aus Kassensturz vom 04.12.2018.

Das Wichtigste in Kürze

  • Weil das Starbucks-WLAN zu wenig geschützt ist, gelangt ein Experte mit einfachsten Mitteln an Namen, Telefonnummern und E-Mailadressen von Kunden.
  • Die Daten reichen aus, um Personen eindeutig zu identifizieren. Sie könnten auch benutzt werden, um im Internet illegale Handlungen vorzunehmen.
  • Die im Experiment gehackten Starbucks-Kunden reagieren schockiert, als «Kassensturz» sie mit den «ergaunerten» Daten konfrontiert.
  • Starbucks hat inzwischen reagiert und das Datenleck nach eigenen Angaben gestopft.

Das kostenlose WLAN-Netz von Starbucks ist beliebt und wird von sehr vielen Kunden genutzt. Doch es ist nicht sicher, wie ein Hacking-Experiment zeigt. «Kassensturz» arbeitet dafür mit José Garduño zusammen, Mitarbeiter der Cyber-Security-Firma Dreamlab. Firmen beauftragen ihn, um in ihre Datennetze einzudringen und so mögliche Schwachstellen aufzudecken.

Schnell und einfach an private Kundendaten

Vor der Starbucks-Filiale auf dem Berner Waisenhausplatz zeigt der Hacker «Kassensturz», wie viele Personen im WLAN eingeloggt sind und wie viele Daten sie momentan brauchen. Mit einer Gratis-App kann er auf einfachste Weise die sogenannte MAC-Adresse der Nutzer herausfinden. «Mit dieser Adresse wiederum kann ich alle Daten ergattern, welche die Kunden eingegeben haben.»

Mit der Kombination aus Name, E-Mail-Adresse und Handynummer lässt sich eine Person eindeutig identifizieren. «Mit böser Absicht könnten wir jetzt gesetzeswidrige Handlungen im Internet im Namen dieser Person vornehmen.

Was halten Sie davon?

Was halten Sie davon?

Schreiben Sie uns direkt ins Kommentarfeld!

Betroffen reagieren schockiert

Innert kürzester Zeit kommt er an die Personalien mehrerer WLAN-Nutzer in der Starbucks-Filiale. Darunter auch an die des 20-jährigen Jannik. Ihn ruft der «Kassensturz»-Reporter vor Ort auf sein Handy an. Der junge Mann reagiert sichtlich schockiert: «Krass, dass das so einfach möglich ist! Ich habe gemeint, das Starbucks-Netz sei sicher.»

Auch die 25-jährige Ileanna reagiert verstört, als sie der «Kassensturz»-Reporter an ihrem Tisch mit Namen anspricht. «Das ist unheimlich. Ihr wisst, wie ich aussehe, wie ich heisse und dass ich hier sitze. Ich bin schockiert.» Auch sie war für «Kassensturz» mit all ihren Daten sichtbar.

Legende: Video Ileanna: «Das ist beängstigend.» abspielen. Laufzeit 00:19 Minuten.
Aus Kassensturz vom 04.12.2018.

Starbucks erfüllt Datenschutz nicht

Das Datenschutzgesetz schreibt klar vor: Ein WLAN-Betreiber muss die Daten vertraulich behandeln und deren Integrität sowie deren Schutz gewährleisten. Starbucks erfüllte diese Kriterien bis anhin offensichtlich nicht.

Starbucks: «Sicherheitslücke geschlossen»

«Kassensturz» und die Firma Dreamlab haben Starbucks über die Sicherheitslücke informiert. Man nehme das Thema sehr ernst, teilt das Unternehmen mit. «In diesem Fall gibt es keinen Hinweis darauf, dass Daten unserer Gäste kompromittiert wurden.»

Starbucks hat inzwischen eine neue WLAN-Lösung implementiert, welche keinen Zugriff auf die persönlichen Daten der Kunden zulässt. Nutzer, die vermuten, ihre Daten könnten kompromittiert worden sein, könnten sich an den Kundendienst wenden.

Legende: Video Marc Peter, Professor für Digitale Transformation abspielen. Laufzeit 00:23 Minuten.
Aus Kassensturz vom 04.12.2018.

Experte: «Vorsicht bei öffentlichen WLAN-Netzen»

Marc Peter, Geschäftsleitungsmitglied von Dreamlab und Professor für Digitale Transformation, bezeichnet Gratis-WLAN-Netze als kritisch bezüglich Sicherheit. «Die öffentlichen WLANs sind als eher unsicher anzusehen. Speziell im Ausland würde ich diese nicht nutzen. Ich würde sogar raten, keine solchen für den Versand von sensiblen Daten zu verwenden, und stattdessen mit Datenpaketen seines Telekommunikationsanbieters zu arbeiten.»

Verordnung zum Bundesgesetz über den Datenschutz

Personen-Box aufklappenPersonen-Box zuklappen

Art. 8 Allgemeine Massnahmen

1 Wer als Privatperson Personendaten bearbeitet oder ein Datenkommunikationsnetz zur Verfügung stellt, sorgt für die Vertraulichkeit, die Verfügbarkeit und die Integrität der Daten, um einen angemessenen Datenschutz zu gewährleisten. Insbesondere schützt er die Systeme gegen folgende Risiken:

a. unbefugte oder zufällige Vernichtung;

b. zufälligen Verlust;

c. technische Fehler;

d. Fälschung, Diebstahl oder widerrechtliche Verwendung;

e. unbefugtes Ändern, Kopieren, Zugreifen oder andere unbefugte Bearbeitungen.

Quelle: www.admin.ch, Link öffnet in einem neuen Fenster

Legende: Video Studiogespräch mit Marc K. Peter, Professor für digitale Transformation abspielen. Laufzeit 05:38 Minuten.
Aus Kassensturz vom 04.12.2018.

Keine wichtigen News verpassen

Erhalten Sie die wichtigsten Nachrichten per Browser-Push-Mitteilungen.

Push-Benachrichtigungen sind kurze Hinweise auf Ihrem Bildschirm mit den wichtigsten Nachrichten - unabhängig davon, ob srf.ch gerade geöffnet ist oder nicht. Klicken Sie auf einen der Hinweise, so gelangen Sie zum entsprechenden Artikel. Sie können diese Mitteilungen jederzeit wieder deaktivieren.

22 Kommentare

Navigation aufklappen Navigation zuklappen

Sie sind angemeldet als Who ? (whoareyou) (abmelden)

Kommentarfunktion deaktiviert

Uns ist es wichtig, Kommentare möglichst schnell zu sichten und freizugeben. Deshalb ist das Kommentieren bei älteren Artikeln und Sendungen nicht mehr möglich.