Die Versandapotheke Zur Rose ist möglicherweise Opfer eines Hackerangriffs geworden. Am 18. Januar wurden angeblich Kundendaten des Online-Shops für Kosmetik- und Körperpflegeprodukte "zurrose-shop.ch" im Netz angeboten. Deren Echtheit wird nun geprüft.

Bei den mutmasslich entwendeten Daten handelt es sich um Namen, Adressen, E-Mail-Adressen und Telefonnummern sowie Passwörter, teilte Zur Rose mit. Die Kriminellen bieten für 150 Euro fast 575'000 Datensätze zum Verkauf.

Die Passwörter seien durch ein Hash-Verfahren gesichert und somit nicht nutzbar, heisst es von zur Rose. Glaubt man den Kriminellen, sind die Passwörter mit SHA1 gesichert, einem Verfahren aus dem Jahr 1995. Dieses wird noch immer breit eingesetzt, auch wenn immer wieder Kritik an der Sicherheit geäussert wurde. Die Hashfunktion kann geknackt werden, wie zuletzt Google 2017 nachwies, mit handelsüblichen Systemen dürfte der Aufwand aber so erheblich sein, dass im vorliegenden Falle keine reelle Gefahr besteht. Dennoch empfahl das National Institute of Standards and Technology (NIST) bereits 2011, auf einen neueren Standard zu wechseln.

Von Zur Rose kommen weitere Entwarnungen: Nicht betroffen seien Daten zu den Bestellungen sowie zu Zahlungsinformationen. Ebenfalls unbehelligt geblieben seien die Daten der Online-Apotheke "zurrose.ch". Diese nutze eine technisch separate Plattform.

Auf Anfrage von inside-it.ch wollte sich das Unternehmen aufgrund der laufenden Ermittlungen nicht weiter äussern. Es versichert aber, dass auch die Kundenstammdaten der Online-Apotheke und des betroffenen Shops für Kosmetik- und Körperpflegeprodukte "komplett getrennt" seien.

Aktuell stehe noch nicht fest, ob es sich bei den zum Verkauf angebotenen Daten tatsächlich um echte Kundendaten handle. Interne und externe Datenexperten würden mit den Behörden zur schnellstmöglichen Klärung des Vorfalls zusammenarbeiten. Die Kunden des Online-Shops wurden kontaktiert und über die laufenden Abklärungen und Massnahmen informiert.