Das Auktionshaus Christie's steht wegen eines Datenhacks unter Rechtfertigungsdruck.
Istock

Die von Christie's als "technisches Sicherheitsproblem" verharmloste Cyberattacke, bei der Anfang Mai persönliche Daten von weltweit rund 540.000 Kunden erbeutet wurden, zieht immer weitere Kreise. In den USA ist das Unternehmen jetzt mit einer ersten Sammelklage konfrontiert. Die Gruppe "Ransom Hub", die sich im Darknet zu dem Hack bekannte, behauptet nun, die Daten mittlerweile verkauft zu haben.

Wie berichtet, handelt es sich dabei um sensibles Material, da solche echtheitsverifizierten Angaben aus Reisepässen oder anderen Ausweispapieren Identitätsdiebstahl ermöglichen. In Österreich sind davon potenziell bis zu 500 Personen betroffen, wie bei der zuständigen Datenschutzbehörde in Erfahrung zu bringen war, die sich dabei auf eine Meldung des Auktionshauses bezieht.

Dem STANDARD vorliegenden Informationen zufolge scheinen die Probleme bei Christie's jedoch gravierender zu sein als bisher bekannt: Denn aufgrund unzureichender Sicherheitsmaßnahmen bedarf es keines klassischen Hackings, um an Kundendaten zu kommen. Laut dem deutschen IT-Sicherheitsforscher Martin Tschirsich (Zentrust Partners) ist dafür "ein Online-Kundenaccount völlig ausreichend".

Kein Hacking notwendig

Bis zu einer STANDARD-Anfrage Mitte vergangener Woche konnte man als eingeloggter User an den Server einen einfachen Auskunftsbefehl schicken und in diesem die eigene Kundennummer gegen eine andere austauschen. Sofern diese andere Nummer zugeordnet war, wurden die zugehörigen Daten prompt geliefert, beschreibt Tschirsich.

Eine Stichprobe ergab, dass sich über diese Methode Informationen zu hochgerechnet vermutlich rund 500.000 Accounts downloaden ließen. Enthalten waren darin etwa der vollständige Name, private Adressen, Liefer-, Rechnungs- und Korrespondenzadressen sowie Telefon- und Faxnummer.

In einer Stellungnahme bestätigt Christie's diese Sicherheitslücke, "durch die es einem unbefugten Benutzer möglich war, durch Manipulation der URL äußerst begrenzte, nichtfinanzielle und nichttransaktionale Kundendaten einzusehen".

Die Sicherheitsmängel sollen mittlerweile behoben worden sein. Seit wann sie bestanden und ob es hier in der Vergangenheit bereits zu unbefugten Zugriffen auf Kundendaten kam, wollte Christie's nicht beantworten. Nur so viel: Im Rahmen der "Standard-Sicherheitspraktiken" würden Schwachstellentests durchgeführt, "um jegliche Kompromittierung unserer Systeme und Daten zu verhindern".

Behebung auf Zuruf

Sonderlich effektiv dürften solche Tests bisher aber nicht gewesen sein. Noch Ende vergangener Woche seien laut Martin Tschirsich nach gleicher Methode über eine andere Schnittstelle Kundendaten einsehbar gewesen, die neben Namen und verschiedenen Anschriften etwa auch die Umsatzsteuer-Identifikationsnummer offenbarten.

Als Experte für Informationssicherheit sieht Tschirsich in einer völlig veralteten Technik bei Christie's das größte Problem und vergleicht diese mit "einem Sieb, bei dem nur an Symptomen herumgedoktert" werde.

Gemeinsam mit André Zilch wies er das Auktionshaus bereits im vergangenen Jahr auf ein Sicherheitsproblem hin: Von potenziellen Verkäufern für eine Schätzung bei Christie's über deren Website upgeloadete Fotos von Kunstwerken waren offen im Netz abrufbar. Teils waren bei diesen Aufnahmen auch GPS-Daten integriert, die Rückschlüsse auf die genauen Standorte der Wertgegenstände und deren Besitzer ermöglichten.

Eine Sicherheitslücke, die unternehmensintern bis Juni 2023 unbemerkt geblieben war. Auf den entsprechenden Hinweis von Tschirsich reagierte das Auktionshaus reserviert: Man benötige weder Beratung noch Unterstützung. Behoben wurde der Mangel dann Mitte August 2023, just nachdem die Washington Post und der Spiegel entsprechende Anfragen übermittelt hatten – auf medialen Zuruf quasi. (Olga Kronsteiner, Georg Pichler, 11.6.2024)