computerwoche.de

Web

Sicherheitslöcher legen Lohnbuchhaltungssystem von Paymaxx lahm

02.03.2005

MÜNCHEN (COMPUTERWOCHE) - Nachdem ein Nutzer Sicherheitslöcher in der Online-Lohnabrechnung der Firma Paymaxx entdeckt hatte, sah sich der Service-Provider gezwungen, Teile seines Systems abzuschalten. Der US-amerikanische Dienstleister Paymaxx bietet Lohnbuchhaltung als Web Service via Internet-Zugriff an. Kunden können ihre Daten online an den Serviceanbieter schicken, wo diese dann weiter verarbeitet werden.

US-amerikanischen Medienberichten zufolge hatte Aaron Greenspan, President des Web Services Startup Think Computer, die Sicherheitslücken bereits Anfang Februar entdeckt. Nachdem Paymaxx nicht auf Anfragen reagierte und sich im Laufe der folgenden Wochen weitere Löcher auftaten, habe er das Problem öffentlich gemacht, heißt in den Berichten. Think Computer habe ein offensichtliches Interesse daran, dass die Probleme zügig gelöst werden, weil die eigenen Daten in den betroffenen Systemen gespeichert seien, wird Greenspan zitiert.

Die Datenlecks seien unter Kontrolle, versuchten indes die Paymaxx-Verantwortlichen die Probleme herunterzuspielen. Die Systeme blieben weiter abgeschaltet, bis eine komplette Sicherheitsüberprüfung und eine Überarbeitung der Website-Architektur abgeschlossen seien. Mit der Prüfung sei eine externe Firma beauftragt worden. Außerdem wolle das Unternehmen zusätzliche Hard- und Software anschaffen, um die eigene IT-Umgebung besser vor Angriffen von außen zu schützen. Alle Kunden, die eventuellen Sicherheitsgefahren ausgesetzt gewesen sein könnten, habe man informiert.

Die Probleme seien größer als Paymaxx zugibt, moniert indes Greenspan. Der Think-Computer-President sei ein Hacker, schießen die Paymaxx-Verantwortlichen zurück. Außerdem steckten in seinem Bericht über die Security-Probleme zahlreiche Ungenauigkeiten. Welcher Art diese seien, wollte Paymaxx dagegen nicht konkretisieren. Man gehe davon aus, der Hacker habe gegen geltendes Recht verstoßen, hieß es den Berichten zufolge von Seiten des Providers. Daher würden die entsprechenden Maßnahmen ergriffen, um die eigenen Interessen sowie die der Kunden zu schützen. (ba)