Waldemar Erdmann     

Für großes Aufsehen sorgte in den Medien der Fall bei PricewaterhouseCoopers Deutschland (PwC), bei dem Daten von Online Bewerbern auf einem chinesischen Webserver frei zugänglich gemacht wurden.

Aufgedeckt hat diesen Fall die WISO Redaktion von ZDF. Die Datensätze, die aus E-Mail-Adresse und Passwort bestehen, wurden nach ZDF-Recherchen benutzt, um sich bei einem Internet-Zahlungsdienstleister anzumelden. Dabei spekulierten die Datendiebe anscheinend darauf, dass zahlreiche Internet-Nutzer bei verschiedenen Diensten die gleiche Kombination aus E-Mail-Adresse und Passwort verwenden. In solchen Fällen hätten sie Zugriff auf das Zahlungskonto des Betroffenen erhalten.

Gespannt dürfen wir sein auf die ZDF WISO Sendung morgen (8.9.2008)  um 19:25! Dort wird dieser Fall ausführlich erläutert.

Die WISO Redaktion hat PwC Deutschland sofort über den Vorfall informiert, welche noch am gleichen Tag Strafanzeige gegen bislang unbekannte Daten-Hacker gestellt hatte. Der Angriff richtete sich nach Angaben von PwC auf einen externen Server.

In der Pressemitteilung heißt es:
“Nicht betroffen von dieser Hacker-Attacke sind sämtliche Internetangebote, die von PwC selbst betrieben werden. Dazu zählt vor allem der eigene Internetauftritt www.pwc.de. Ebenfalls nicht von der Attacke betroffen sind sämtliche Kunden- sowie alle übrigen Daten von Mitarbeitern und Bewerbern.”

Der Personalvorstand gibt einen Ratschlag an Bewerber die nach PwC Jobs suchen: “Bewerber, die sich aktuell mit uns in Verbindung setzen möchten, können dies beruhigt auch weiterhin online tun.”

Den Ratschlag habe ich angenommen und habe versucht eine Onlinebewerbung aufzugeben. Wie ich schon voher geahnt habe kommt - obwohl ich auf dem Internetauftritt von pwc.de bin, welcher sicher sein soll - eine Seite mit Hinweis auf “Wartungsarbeiten“:

Der Vorfall an sich ist schon sehr ärgerlich und ich möchte nicht noch mehr Öl ins Feuer gießen. Es gibt im Netz sicher genügend Artikel, die darüber berichten.

Worum es mir geht ist:

Was können Personalentscheider und Bewerber von diesem Vorfall lernen?

Zunächst einmal muss klar sein, dass PwC die Seiten nicht selbst betreibt. Schon garnicht die Technologie, die hinter einer Online Bewerbung steckt. Hierzu werden Provider beauftragt, welche die Hardware bereitstellen (also die Server) und die Recruiting Software, die für das Bewerbung Formular notwendig ist. Bei PwC internen Seiten, welche nach eigenen Angaben nicht vom Angriff betroffen sind, ist SAP Software im Einsatz. Das lässt sich anhand der Online Bewergung URL und dem Seitenquelltext erkennen.
Welcher externe Anbieter für den Bewerber Datenklau bei PwC verantwortlich ist, darüber hält sich der Konzern bedeckt. Auf der Golem Diskussionsseite gibt es aber konkrete Vermutungen hierzu.

Um die folgenden Online Bewerbung Tipps richtig umzusetzen, kommen wir ohne grundlegendes technisches Hintergrundwissen nicht aus.

Wie kann es sein, dass chinesiche Hacker mit irgendwelchen Hacker Tools an sensible persönliche Daten herankommen die auf Firmenwebseiten hinterlassen werden? Diese Frage lässt sich nicht so einfach beantworten. Technische Details beschreibt z.B. dieser heise Artikel.

Fakt ist, dass ein Hacker Angriff zum scheitern verurteilt ist, wenn Sie als Personalentscheider folgende Ratschläge bei Ihrem Recruiting Provider beachten:

1. Wählen Sie einen eRecruiting Software Anbieter mit starken Referenzen
2. Fragen Sie Ihren Anbieter ob die Bewerberzugangsdaten (v.a. das Passwort) verschlüsselt in der Datenbank gespeichert werden
3. Fragen Sie den Software Anbieter, wie der Authenifizierngsmechanismus funktioniert. Werden zum Beispiel Cookies in Kombination mit Sessions zur Authentifizierung der Bewerber verwendet?
4. Wenn ja: wird im Cookie das Secure Flag gesetzt? Dies ist notwendig, damit der Cookie mit einer Zugangs-Session nicht an jeden Rechner übertragen wird, der vorgibt aus einem bestimmten WLAN Netz zu kommen.
5. Wird im Login Bereich der Bewerber das gesicherte https Protokoll verwendet? Hierfür ist für die Webseite ein Zertifikat notwendig, die Kosten belaufen sich auf ca. 100 EUR / Jahr.

Für Bewerber möchte ich folgende Tipps mit auf den Weg geben:

1. Gibt deine Zugangsdaten oder persönliche Daten nicht preis, wenn die Webseite unprofessionell wirkt oder viele Rechtscheibfehler enthält. Dann ist der Weg einer Bewerbung über Email oder Post doch der günstigere.
2. Im Bewerber Formular achtet darauf, dass die URL mit https beginnt. Für technisch versierte User: Es kann sein, dass das https Protokoll verwendet wird, aber nicht in der URL erscheint. In dem Fall ist die Webseite aus Frames aufgebaut. Lasst euch den Seitenquelltext anzeigen und prüft dort, ob die Hauptframe-URL (im Quelltext) mit https beginnt.

So, mehr Tipps fallen mir auch nicht ein.
Wer weiss noch einen guten Tipp?

Falls Sie noch nie was von PwC gehört haben: Es ist eine der weltweit größten Wirtschaftsprüfungs- und Beratungsgesellschaften.

Dieser Artikel wurde am Sonntag, 07. September 2008 um 16:30 veröffentlicht und ist abgelegt unter HR, Web 2.0. Du kannst die Antworten zu diesem Artikel mit Hilfe des RSS 2.0 Feeds verfolgen. Du kannst eine Antwort hinterlassen oder einen Trackback von deiner Seite aus senden.