TJX: 45,7 Millionen Kundenkonten kompromittiert

TJX Companies hat in einer aktuellen Mitteilung zu laufenden Ermittlungen erklärt, dass in einem Zeitraum von zwei Jahren 45,7 Millionen Kundenkonten kompromittiert worden seien. Damit sind die Folgen des Einbruchs, der im Januar veröffentlicht wurde, weit größer als ursprünglich angenommen. „Das ist der größte Sicherheitsvorfall, den wir weltweit hatten,“ sagt Avivah Litan, Analystin bei Gartner. „Es gab einmal einen Fall bei Cardsystems, wo 40 Millionen Datensätze kompromittiert wurden. Aber diesmal sieht es so aus, als ob wirklich jemand die Informationen gestohlen hat.“

Das Unternehmen TJX, das unter anderem für Kaufhäuser wie T.J. Maxx und Marshalls in den USA arbeitet, hat weitere Details des Falls in einer Akte für die Securities and Exchange Commission (SEC) veröffentlicht. In dieser Akte gibt TJX an, dass Datendiebe erstmals im Juli 2005 Zugriff auf die firmeneigenen Computersysteme gehabt hätten. Sie hätten dabei Software installiert, mit der man sensible Kundendaten wie Kontoinformationen, Namen und Adressen, Führerscheinnummern sowie militärische und staatliche Ausweise auswerten könne.

Diese Sicherheitslücke blieb bis Mitte Januar 2007 offen. Unter den betroffenen Daten waren Transaktionen mit Kredit- und Kundenkarten, Schecks und Umtauschwaren ohne Kassenzettel bei den Kaufhäusern Marshalls, T.J. Maxx, Homegoods und A.J. Wright in den USA und in Puerto Rico. Kreditkartengeschäfte mit den Unternehmen Winners und Homesense in Kanada sowie mit T.K. Maxx in Irland und Großbritannien stehen ebenfalls auf der Liste.

TJX hat schon 5 Millionen Dollar, rund 3,8 Millionen Euro, Kosten vor Steuern in seine Bilanz für das vierte Quartal 2006 eingestellt, um die Sicherheitslücke zu schließen. Darin enthalten sind die Kosten für die Aufklärung des Vorfalls, für die Verbesserung der Computersicherheit und für das Warnen der Kunden. Diese Kosten werden wahrscheinlich noch steigen, da viele TJX-Kunden Klagen eingereicht und mehrere Behörden Untersuchungen gestartet haben. Laut der SEC-Akte läuft gerade eine Untersuchung in 30 Bundesstaaten. Die Federal Trade Commission überprüft, ob TJX gegen Verbraucherschutzgesetze verstoßen hat. In Kanada beschäftigen sich mehrere Datenschutzbeauftragte in unterschiedlichen Provinzen mit dem Fall.

Avivah Litan vermutet im Fall von TJX, dass die Angreifer über eine regionale Zentrale mit Wireless-Anschluss Zugang zum Firmennetz erlangt haben. Über diese Zentralen verbinden sich Verkäufer an Kundenschaltern mit dem System. Von der Außenstelle hätten die Angreifer es geschafft, sich ihren Weg bis in das Zentralsystem von TJX zu bahnen.