DaWanda im Ausnahmezustand: Fehlerhafter Softwarecode führte zu Sicherheitspanne

Eine schwere Sicherheitspanne führt in dieser Woche zu einem Ausnahmezustand bei DaWanda (www.dawanda.de), dem bekannten Marktplatz für Selbstgemachtes. Das Drama nahm bereits am Montag seinen Lauf: In den frühen Morgenstunden kam es laut […]
DaWanda im Ausnahmezustand: Fehlerhafter Softwarecode führte zu Sicherheitspanne
Freitag, 11. Januar 2013VonAlexander Hüsing

Eine schwere Sicherheitspanne führt in dieser Woche zu einem Ausnahmezustand bei DaWanda (www.dawanda.de), dem bekannten Marktplatz für Selbstgemachtes. Das Drama nahm bereits am Montag seinen Lauf: In den frühen Morgenstunden kam es laut Unternehmen “in Einzelfällen vor, dass DaWanda-Nutzer in fremden Mitgliedskonten eingeloggt waren”. Was quasi ein Super-Gau in Sachen Datenschutz etc. ist, zumal offenbar auch der Einkauf unter falscher Identität möglich gewesen sein soll. In DaWanda-Forum und auf der Facebook-Seite des Unternehmens berichten zahlreiche Nutzer, dass sie plötzlich in anderen Accounts eingeloggt waren und diese wie ihre eigenen nutzen konnten.

Dass DaWanda in den Stellungnahmen von Einzelfällen sprach, machte die Sache auch nicht besser. Auch, dass es gefühlt viele Stunden dauerte, bis DaWanda seine Nutzer über die eigene Seite, Twitter und Facebook informierte, machte die Sache für viele Nutzer nicht besser. Wobei die Jungfirma im Laufe des Tages immer wieder neue Infos zum technischen Super-Gau bereit stellte. In den ersten Meldungen spürte man aber eine gewisse Ratlosigkeit: “Die Ursachen für dieses Vorkommnis sind leider noch nicht klar, wir können auch einen Hackerangriff im Zusammenhang mit den genannten Vorfällen zum aktuellen Zeitpunkt nicht ausschließen. Wir forschen aktuell weiter nach den Ursachen und überprüfen unsere Systeme komplett. Außerdem filtern wir aktuell alle betroffenen Nutzerkonten heraus und werden die Konteninhaber persönlich kontaktieren”.

“Ein Hackerangriff ist auszuschließen”

Später hieß es dann: “Wir haben sofort nach Bekanntwerden die DaWanda Webseite abgeschaltet und zusätzliche Sicherheitsmechnismen aufgesetzt, so dass keine unautorisierten Zugriffe auf Nutzerkonten mehr möglich waren. Alle Nutzer, bei denen konkrete Anhaltspunkte für einen solchen Vorfall vorlagen, kontaktieren wir persönlich. Dennoch informieren wir alle DaWanda-Nutzer vorsorglich über dieses Vorkommnis. Sollten Dir Unregelmäßigkeiten auffallen, die auf einen Zugriff Dritter hindeuten, kontaktiere uns bitte umgehend unter safety@dawanda.com. Wir forschen mit Hochdruck an den Ursachen dieses Vorfalls, konnten diese aber leider noch nicht mit abschließender Sicherheit klären. Die Sicherheit unserer Nutzer und ihrer Daten hat auch für uns oberste Priorität. Wir informieren Dich daher über Neuigkeiten zeitnah hier”.

Wie tagesschau.de berichtete, konnten sich aber auch im Laufe des Tages offenbar einige Nutzer weiterhin unter falscher Identität anmelden. DaWanda hatte seinen Nutzern dies mitgeteilt: “Am 7. Januar 2013 von ca. 2.00 bis 9.30 Uhr morgens konnte es vorkommen, dass DaWanda-Nutzern fremde Mitgliedskonten angezeigt wurden”. Am Freitag meldete sich DaWanda erneut bei seinen Nutzern: “Die Ursachenforschung konnten wir heute abschließen. Ein Hackerangriff ist mittlerweile auszuschließen. Stattdessen führte ein fehlerhafter Softwarecode in unserem System zu dem Defekt. Der Mechanismus konnte genau eingegrenzt werden. Zusätzlich aufgesetzte Sicherheitsbarrieren sorgen für verstärkten Schutz und verhindern, dass dieser Vorfall erneut auftreten kann. Als weitere Maßnahme werden wir unsere Systeme durch eine unabhängige Institution prüfen, und uns unsere Software- und Datensicherheit auch extern bestätigen lassen”.

“Äußerst beunruhigend”

Im Forum findet sich noch ein persönlicheres Fazit der Sicherheitspanne: “Uns ist bewusst, dass der Vorfall äußerst beunruhigend für Euch war. Deshalb arbeiten wir hart daran, Derartiges in Zukunft zu vermeiden. Wir bitten Euch in aller Form um Entschuldigung für die entstandene Unsicherheit und die Unanehmlichkeiten”. Bleibt die Frage, wie diese Sicherheitspanne überhaupt entstehen konnte? Und hoffentlich ist der “fehlerhafte Softwarecode” nun für immer entfernt. Wenn einem die eigene Software quasi attackiert, darf man diesen Vorgang getrost als den Super-Gau für jedes Unternehmen bezeichnen. DaWanda-Gründerin Claudia Helming betont gegenüber deutsche-startups.de noch einmal, dass man schon seit Montag 9:30 Uhr wieder auf der sicheren Seite sei: “Wir haben danach unsere Systeme selbst auf andere Sicherheitslücken noch einmal genau untersucht und werden sehr zeitnah unsere Systeme von einer unabhängigen Institution prüfen lassen. Wir sind wie gesagt seit Montag morgen wieder zuverlässig und sicher nutzbar”. Hoffentlich!

Hausbesuch bei DaWanda

Im Frühjahr 2008 besuchte deutsche-startups.de den Online-Marktplatz DaWanda zum ersten Mal. Das kleine Büro ist jedoch längst Geschichte, deswegen wurde es Anfang 2010 Zeit für einen erneuten Hausbesuch. Alle Eindrücke in unserer kleinen Fotogalerie.

ds_dawanda_hb

Artikel zum Thema
* Wie DaWanda ausländische Märkte wie Spanien, Polen und Italien erobern will
* Insight Venture steigt bei DaWanda ein
* 4 Millionen Euro frisches Kapital: DaWanda sammelt Geld ein
* Sehenswert: Hinter den Kulissen von DaWanda
* Gründerinnen. “Als Frau sticht man immer etwas hervor” – Claudia Helming von DaWanda

Alexander Hüsing

Alexander Hüsing, Chefredakteur von deutsche-startups.de, arbeitet seit 1996 als Journalist. Während des New Economy-Booms volontierte er beim Branchendienst kressreport. Schon in dieser Zeit beschäftigte er sich mit jungen, aufstrebenden Internet-Start-ups. 2007 startete er deutsche-startups.de.