Bei Libri.de standen offenbar bis vor Kurzem rund 500.000 Kunden-Rechnungen für jedermann frei verfügbar im Netz. Nachdem Netzpolitik.org erst kürzlich Datensätze des sozialen Netzwerks SchülerVZ zugespielt bekommen hatte, wurde das Blog jetzt von einem Leser über die klaffende Datenlücke bei dem Online-Buchhändler informiert.

Der Leser hatte nach einer Bestellung einen Link zur PDF-Datei seiner Rechnung bekommen und war misstrauisch geworden. Denn offenbar unterschied sich die URL seiner Rechnung nur durch die sechstellige Endziffer von anderen. Er probierte eine zufällige Zahlenkombination und gelangte zu der Rechnung eines anderen Kunden.

20.000 Rechnungen in 30 Minuten

Netzpolitik.org fand heraus, dass die Rechnungen am 29. Mai 2008 mit der Nummer "4676" begannen und insgesamt rund 500.000 auf diese Weise ausgestellt wurden. Zum Test luden die Blogger innerhalb einer halben Stunde 20.000 Rechnungen herunter. Kaum zu glauben, dass so etwas so einfach funktioniert. Schließlich können Libri.de-Kunden zum Thema Datenschutz & Sicherheit lesen: "Es gehört zu unseren Grundsätzen, Ihre Daten absolut vertraulich zu behandeln und diese nicht an Dritte weiterzugeben."

Netzpolitik.org informierte daraufhin den Hamburger Datenschutzbeauftragten Johann Caspar, der sich sehr erstaunt zeigte. "Ich halte die Datenpanne schon für ziemlich schwerwiegend, die von den Ausmaßen ziemlich erschreckend ist", sagte er dem Südwestfunk.

Der Blog setzte sich auch mit Libri.de in Verbindung. Der Buchhändler versuchte nichts zu vertuschen, sondern reagierte umgehend. Die Lücke sei geschlossen worden, bevor ein Schaden entstanden sei, teilte das Unternehmen in einer Pressemeldung mit. Libri.de weist darauf hin, dass es seine Datensicherheit regelmäßig unter anderem vom TÜV überprüfen lasse.

Sicherheit durch TÜV-Zertifikat?

Tatsächlich findet sich auf der Startseite das Safer-Shopping-Zertifikat des TÜV Süd. Auf der entsprechenden Website steht: "Wenn Sie unser Prüfzeichen auf einer Website sehen ... können Sie beruhigt dort einkaufen, da wir den Händler für Sie sorgfältig geprüft haben." Explizit wird darauf hingewiesen, dass auch besonderer Wert darauf gelegt werde, wie "persönliche Daten geschützt werden".

Ob das TÜV-Siegel tatsächlich für sicheres Einkaufen steht, kann nach dieser Panne durchaus bezweifelt werden. So bekommt das eigentlich begrenzte Datenproblem von Libri.de ganz andere Dimensionen. Denn mit dem TÜV-Siegel werben auch Schwergewichte wie Otto, Expedia.de oder Base für Kundenvertrauen. Und das dürfte jetzt - zum Schaden der Unternehmen - erschüttert sein. "Der Fall ist natürlich sehr schwerwiegend", bestätigt auch TÜV-Süd-Sprecher Frank Volk gegenüber n-tv.de. "Derzeit können wir aber noch nicht sagen, wie es dazu gekommen ist. Wir prüfen noch und werden das schnellstmöglich aufklären."