DaWanda im Ausnahmezustand: Fehlerhafter Softwarecode führte zu Sicherheitspanne

Eine schwere Sicherheitspanne führt in dieser Woche zu einem Ausnahmezustand bei DaWanda (www.dawanda.de), dem bekannten Marktplatz für Selbstgemachtes. Das Drama nahm bereits am Montag seinen Lauf: In den frühen Morgenstunden kam es laut […]
DaWanda im Ausnahmezustand: Fehlerhafter Softwarecode führte zu Sicherheitspanne

Eine schwere Sicherheitspanne führt in dieser Woche zu einem Ausnahmezustand bei DaWanda (www.dawanda.de), dem bekannten Marktplatz für Selbstgemachtes. Das Drama nahm bereits am Montag seinen Lauf: In den frühen Morgenstunden kam es laut Unternehmen “in Einzelfällen vor, dass DaWanda-Nutzer in fremden Mitgliedskonten eingeloggt waren”. Was quasi ein Super-Gau in Sachen Datenschutz etc. ist, zumal offenbar auch der Einkauf unter falscher Identität möglich gewesen sein soll. In DaWanda-Forum und auf der Facebook-Seite des Unternehmens berichten zahlreiche Nutzer, dass sie plötzlich in anderen Accounts eingeloggt waren und diese wie ihre eigenen nutzen konnten.

Dass DaWanda in den Stellungnahmen von Einzelfällen sprach, machte die Sache auch nicht besser. Auch, dass es gefühlt viele Stunden dauerte, bis DaWanda seine Nutzer über die eigene Seite, Twitter und Facebook informierte, machte die Sache für viele Nutzer nicht besser. Wobei die Jungfirma im Laufe des Tages immer wieder neue Infos zum technischen Super-Gau bereit stellte. In den ersten Meldungen spürte man aber eine gewisse Ratlosigkeit: “Die Ursachen für dieses Vorkommnis sind leider noch nicht klar, wir können auch einen Hackerangriff im Zusammenhang mit den genannten Vorfällen zum aktuellen Zeitpunkt nicht ausschließen. Wir forschen aktuell weiter nach den Ursachen und überprüfen unsere Systeme komplett. Außerdem filtern wir aktuell alle betroffenen Nutzerkonten heraus und werden die Konteninhaber persönlich kontaktieren”.

“Ein Hackerangriff ist auszuschließen”

Später hieß es dann: “Wir haben sofort nach Bekanntwerden die DaWanda Webseite abgeschaltet und zusätzliche Sicherheitsmechnismen aufgesetzt, so dass keine unautorisierten Zugriffe auf Nutzerkonten mehr möglich waren. Alle Nutzer, bei denen konkrete Anhaltspunkte für einen solchen Vorfall vorlagen, kontaktieren wir persönlich. Dennoch informieren wir alle DaWanda-Nutzer vorsorglich über dieses Vorkommnis. Sollten Dir Unregelmäßigkeiten auffallen, die auf einen Zugriff Dritter hindeuten, kontaktiere uns bitte umgehend unter safety@dawanda.com. Wir forschen mit Hochdruck an den Ursachen dieses Vorfalls, konnten diese aber leider noch nicht mit abschließender Sicherheit klären. Die Sicherheit unserer Nutzer und ihrer Daten hat auch für uns oberste Priorität. Wir informieren Dich daher über Neuigkeiten zeitnah hier”.

Wie tagesschau.de berichtete, konnten sich aber auch im Laufe des Tages offenbar einige Nutzer weiterhin unter falscher Identität anmelden. DaWanda hatte seinen Nutzern dies mitgeteilt: “Am 7. Januar 2013 von ca. 2.00 bis 9.30 Uhr morgens konnte es vorkommen, dass DaWanda-Nutzern fremde Mitgliedskonten angezeigt wurden”. Am Freitag meldete sich DaWanda erneut bei seinen Nutzern: “Die Ursachenforschung konnten wir heute abschließen. Ein Hackerangriff ist mittlerweile auszuschließen. Stattdessen führte ein fehlerhafter Softwarecode in unserem System zu dem Defekt. Der Mechanismus konnte genau eingegrenzt werden. Zusätzlich aufgesetzte Sicherheitsbarrieren sorgen für verstärkten Schutz und verhindern, dass dieser Vorfall erneut auftreten kann. Als weitere Maßnahme werden wir unsere Systeme durch eine unabhängige Institution prüfen, und uns unsere Software- und Datensicherheit auch extern bestätigen lassen”.

“Äußerst beunruhigend”

Im Forum findet sich noch ein persönlicheres Fazit der Sicherheitspanne: “Uns ist bewusst, dass der Vorfall äußerst beunruhigend für Euch war. Deshalb arbeiten wir hart daran, Derartiges in Zukunft zu vermeiden. Wir bitten Euch in aller Form um Entschuldigung für die entstandene Unsicherheit und die Unanehmlichkeiten”. Bleibt die Frage, wie diese Sicherheitspanne überhaupt entstehen konnte? Und hoffentlich ist der “fehlerhafte Softwarecode” nun für immer entfernt. Wenn einem die eigene Software quasi attackiert, darf man diesen Vorgang getrost als den Super-Gau für jedes Unternehmen bezeichnen. DaWanda-Gründerin Claudia Helming betont gegenüber deutsche-startups.de noch einmal, dass man schon seit Montag 9:30 Uhr wieder auf der sicheren Seite sei: “Wir haben danach unsere Systeme selbst auf andere Sicherheitslücken noch einmal genau untersucht und werden sehr zeitnah unsere Systeme von einer unabhängigen Institution prüfen lassen. Wir sind wie gesagt seit Montag morgen wieder zuverlässig und sicher nutzbar”. Hoffentlich!

Hausbesuch bei DaWanda

Im Frühjahr 2008 besuchte deutsche-startups.de den Online-Marktplatz DaWanda zum ersten Mal. Das kleine Büro ist jedoch längst Geschichte, deswegen wurde es Anfang 2010 Zeit für einen erneuten Hausbesuch. Alle Eindrücke in unserer kleinen Fotogalerie.

ds_dawanda_hb

Artikel zum Thema
* Wie DaWanda ausländische Märkte wie Spanien, Polen und Italien erobern will
* Insight Venture steigt bei DaWanda ein
* 4 Millionen Euro frisches Kapital: DaWanda sammelt Geld ein
* Sehenswert: Hinter den Kulissen von DaWanda
* Gründerinnen. “Als Frau sticht man immer etwas hervor” – Claudia Helming von DaWanda

Alexander Hüsing, Chefredakteur von deutsche-startups.de, arbeitet seit 1996 als Journalist. Während des New Economy-Booms volontierte er beim Branchendienst kressreport. Schon in dieser Zeit beschäftigte er sich mit jungen, aufstrebenden Internet-Start-ups. 2007 startete er deutsche-startups.de.



  1. grex

    mein tipp: die database-connection war nicht threadsafe. blöd, ne?



  2. Jens Blond

    Oh je. Ich tippe mal auf irgendein Caching in Kombination mit Session Ids in den Links. Da kann es passieren, dass man eine gecachte Seite eines anderen Nutzers bekommt. Ärgerlich so was, aber vorher einen “Hacker” Angriff nicht ausschließen ist schon sehr witzig. Der verantwortlich Programmierer kann einem leid tun.



  3. Peter Paul

    Hauptsache erst mal schön auf andere schieben. Bei so einer Panne muss man echt überlegen ob die führenden Köpfe in der Technik die richtigen sind. Ganz ehrlich, bei solchen Nachrichten läuft es mir kalt den Rücken runter. Die Prüfung durch eine unabhängige Institution (kauft ihr jetzt etwa ein TÜV Siegel?) wird sicher alles besser machen :-)



  4. Frank

    Wenn man sich die Dawanda-Leute bei Xing anguckt fällt auf, dass es Produktmanager, Frontend- und Backend-Entwickler gibt, aber niemanden für QS



  5. manu

    “Wer den Schaden hat, braucht für den Spott nicht zu sorgen…”

    Aber egal ob DaWanda oder ein anderes Projekt: Wo Menschen arbeiten passieren Fehler, das ist nunmal so.
    Wer das nicht akzeptiert denkt nicht realistisch, auch wenn der Fehler natürlich schwerwiegend ist.

    Ich kenne zwar die Leute von DaWanda und deren Fähigkeiten nicht, so denke ich trotzdem, dass sie das Problem schnell wieder in den Griff bekommen sollten.

    Was ich mich jedoch frage ist, ob die Leute die sich nun über den Fehler lächerlich machen ähnlich umfangreiche Portale betreiben oder nicht doch bloß zur Spezies der “allwissenden Hobbyprogrammierer” gehören…

  6. Es gibt keine schlechte Publicity.

    Period.

  7. Es gibt keine schlechte Publicity.

    Period.

  8. Eigentlich gibt es da erst einmal nur eine Lösung. Offline nehmen. Ich denke, für die Sicherheit der Nutzer ist das die beste Lösung. Problem fixen und dann online gehen.



  9. Petra Panther

    PP – Ist natürlich immer unangenehm für die Macher, aber es kann ehrlich gesagt ja den Kunden nicht viel passieren.

    Ich kann zwar Vomitorium nicht ganz beipflichten, aber in dem Fall: Bad PR is good PR. Ich meine, Tagesschau.de (okay, nicht DIE Tagesschau) berichtet über Problem bei Unternehmen, das 7 Mio. € Umsatz macht.

    Wie weit schlechte PR gute PR sein kann, hat man damals bei StudiVZ gesehen: die massiven Performance Probleme haben im ersten Jahr zu was geführt? Dass die Leute drüber reden.

    Aber dass es schlechte PR gibt kann man auch genauso an StudiVZ sehen: die ganze Datenschutz Diskussion hat irgendwann dazu geführt, dass die User in Massen gar nicht mehr ihre Klarnamen benutzt haben und die Identifikation mit StudiVZ auch zusätzlich noch geschwunden ist.. Also: es gibt schlechte PR. Aber Dawanda tritt so symphatisch in der Außenwirkung auf, dass sie das mehr als verkraften können.

  10. Pingback: Linkwertig: Swartz, DaWanda, Trends, Gema » netzwertig.com

Aktuelle Meldungen

7 Tage - 10 Artikel Coca Cola, Jurato und Co. – Die News der Woche

7 neue Deals SimScale, gastronovi, Harimata und Co. sammeln Kapital ein

Start-up-Radar MyDog365 bietet jeden Tag neue Ideen für Hund und Mensch

Videointerview Wie MyCouchbox die Wundertüte ins Netz brachte