Hamburg. Durch einen Fehler beim Internet-Buchhändler Libri standen zeitweilig eine halbe Million Bestellungen ungeschützt im Netz. Die Kundendaten konnten im Prinzip von jedem eingesehen werden. Noch im Frühjahr war das Unternehmen für eine angeblich sichere Kaufabwicklung ausgezeichnet worden.

Beim Internet-Buchgroßhändler Libri hat es eine schwere Datenpanne gegeben. Nach Angaben des Hamburger Datenschutzbeauftragten Johannes Caspar standen bei dem Unternehmen seit längerer Zeit etwa 500.000 Buchbestellungen der Kunden ungesichert im Internet. Die Daten enthielten die Adressen der Kunden sowie den Titel der von ihnen bestellten Bücher samt Rechnung. Das Unternehmen räumte den Fehler ein. „Wir konnten unverzüglich reagieren und die Lücke schnell schließen“, teilte Libri am Donnerstag in Hamburg mit.

Ein Schaden sei laut Libri nicht entstanden. Kundendaten seien nicht in den Umlauf gekommen. Ebenso seien zu keinem Zeitpunkt Zahlungsdaten von Kunden betroffen gewesen, hieß es weiter.

Laut „Spiegel Online“ hatte ein Kunde des Online-Buchhändlers den Blog netzpolitik.org auf das Datenleck aufmerksam gemacht. Dessen Betreiber probierte die Sicherheitslücke aus und stellte fest: Wer eine Rechnung als PDF-Dokument heruntergeladen hatte, bekam dafür offenbar eine fortlaufende Nummer. Gab man eine andere Nummer ein, konnte man sich auch die Rechnungen anderer Kunden ansehen - mit Namen, Anschriften, Rechnungsnummern und bestellten Artikeln.

Im Mai noch für den Datenschutz gelobt

„Wer sich ein Sachbuch über das Leben mit Depressionen oder erotische Unterhaltungsliteratur bestellt, mag gute Gründe haben, dies nicht über seinen lokalen Buchhändler zu tun“, sagte Caspar. Aus den Buchbestellungen ließen sich Rückschlüsse auf Geschmack, Hobbys und Vorlieben ableiten sowie Einblicke in soziale Probleme. „Solche Daten gehören auf keinen Fall in fremde Hände“, sagte der Datenschützer.

Beunruhigend sei nach Ansicht von Caspar, dass Libri vom Tüv Süd am 7. Mai mit dem sogenannten Safer-Shopping-Zertifikat ausgezeichnet wurde. Ausdrücklich werde darin auf die Sicherheit von personenbezogenen Daten der Online-Kunden sowie auf die Durchführung eines „Datenschutz-Kurzchecks“ hingewiesen. (ddp)