MÜNCHEN (COMPUTERWOCHE) - Die US-amerikanische Pharmaziekette Consumer Value Stores Corp. (CVS) mit 5375 Läden in 37 Staaten der Vereinigten Staaten (Stand: 1. Januar 2005) hat bestätigt, dass Daten ihrer Kunden im Internet für Dritte zugänglich gemacht wurden. Hierbei konnten Unbefugte einsehen, welche pharmazeutischen Produkte Dritte gekauft hatten.

Betroffen sind Millionen von Kunden von CVS. Wie viele Handelshäuser in der Welt bietet auch die Pharmaziekette Kundenkarten an. Bei diesem "Extracare"-Kartenservice sind nun Sicherheitsmängel offenbar geworden. Wie das "Wall Street Journal" schreibt, konnte jeder, der Extracard-Kunde von CVS ist und über entsprechende Login-Daten verfügte, auf der Homepage des Pharmazievertreibers Daten zu den Käufen anderer Kunden ermitteln. Informationen zu verschreibungspflichtigen Rezepten waren allerdings nicht einsehbar.

Aufgedeckt hatte das Sicherheitsloch die Verbraucherschutzorganisation Consumer Against Supermarket Privacy Invasion and Numbering (Caspian). Deren Direktorin Katherine Albrecht sagte, sie habe selbst einen Test durchgeführt und festgestellt, dass sie eine Liste von Käufen Dritter habe einsehen können. Hierzu gehörten möglicherweise kritische Informationen etwa zu Kondomkäufen oder zu Schwangerschaftstests und zu den Daten, wann diese gekauft wurden und wie hoch der Preis für diese Produkte war.

CVS hat, nachdem die Sicherheitslücke offenbar wurde, die im Internet verfügbaren Daten sofort gesperrt. Albrecht äußerte sich positiv zu der prompten Reaktion des Pharmazievertreibers. Allerdings monierte sie, der Vorfall zeige, wie viele Daten CVS über Konsumenten sammle - Daten, die zudem sehr sensibel seien.

Eileen Howard Dunn, Sprecherin von CVS, sagte, das Unternehmen biete den Online-Service seit ungefähr sechs Monaten an. Dunn betonte, dass keine Daten über verschreibungspflichtige Medikamente veröffentlicht worden seien. Außerdem hätten bislang nur sehr wenige Kunden die Online-Informationsdienstleistung genutzt.

Die Daten, die sich Unberechtigte über Dritte hätten einholen können, seien nicht geeignet, mißbräuchlich genutzt zu werden. Der so genannte Identity Theft ist in den vergangenen Monaten in den USA durch eine Vielzahl spektakulärer Datenklaus zum vorherrschenden Thema in den Medien geworden. Der jüngst bekannt gewordene Diebstahl von Informationen zu etwa 40 Millionen Kreditkartentransaktionen ist hierbei nur der momentane Höhepunkt einer besorgniserregenden Entwicklung von kriminellen Delikten im Internet (COMPUTERWOCHE ONLINE berichtete). jm