Diese Panne wurde am Freitag Nachmittag um kurz vor halb drei bekannt, die Lücke bestand nach Recherchen durch Antragon von Dasbach, Mitarbeiter der Presseagentur AvD-News, Rottenburg (herzlichen Dank für die freundliche Unterstützung von dieser Stelle!), mindestens eine halbe Stunde. Erst als die Nachricht darüber auch außerhalb des Boards bekannt wurde, begann der net.IPO-Kurs um kurz vor halb fünf einzubrechen und stürzte bis Börsenschluss um fast 18 Prozent auf sein Tagestief bei 61 Euro ab.
Da es vor dem Wochenende nur Internet-Nutzern möglich war, auf die Meldung zu reagieren, schon am Samstag aber auch in der FAZ berichtet wurde und Handelsblatt & Co. vermutlich noch nachziehen werden, dürfte dies noch nicht das Ende des Einbruchs gewesen sein. In den nächsten Tagen und Wochen sollte die Aktie noch erhebliche Turbulenzen erfahren, die letzten Handelsminuten am Freitag waren wohl erst ein kleiner Vorgeschmack auf das, was die Aktionäre dort noch erwartet.
Das Unternehmen reagierte auf die Panne neben einer kurzen Reaktion des Vorstands Stefan Albrecht gegenüber InStock, in der davon gesprochen wurde, Hacker hätten kurzzeitig Zugriff auf Daten gehabt, mit einer Stellungnahme auf der eigenen Seite, die wie folgt lautete:
(Anfang)
Kein unberechtigter Zugriff auf Datenbanken bei net.IPO
Entgegen von heute im Internet verbreiteten Behauptungen bestand bei net.IPO zu keinem Zeitpunkt eine unberechtigte Zugriffsmöglichkeit auf die Datenbanken, welche die vertraulichen Daten der net.IPO-Kunden enthalten.
Die Gesellschaft erwägt die Erstattung von Strafanzeige gegen die jeweiligen Personen, sofern weiterhin entsprechende Behauptungen verbreitet werden.
Am 17.03.2000 kam es während eines wenige Minuten dauernden Übermittlungsvorganges zu einer unberechtigten Zugriffsmöglichkeit auf ein offiziell nicht zugängliches Rechnersystem. Durch unauthorisierten Zugriff entwendeten noch nicht identifizierte Personen die Lieferungsdateien aus einer laufenden Emission. Diese Datei war zur Übermittlung der Datensätze an die jeweiligen Banken bestimmt. Den betreffenden Kunden entstand dadurch kein persönlicher oder wirtschaftlicher Schaden. Zu keinem Zeitpunkt bestand Zugriff auf Daten, die auf eine Unsicherheit im net.IPO-System schließen lassen.
Wir weisen ausdrücklich darauf hin, dass der Gesetzgeber die Ausspähung und unbefugte Weitergabe von Daten unter Strafe stellt (§§ 202a StGB, 43 Bundesdatenschutzgesetz).
Frankfurt, den 17.3.2000
(Ende)
Offensichtlich will man damit zum Gegenangriff übergehen und die Panne eher herunterspielen; es empfiehlt sich in diesem Fall die genaue Lektüre der sehr geschickt abgefassten Meldung, da diese einige Tatsachen sehr elegant umschifft und dem oberflächlichen Leser vorspiegelt, es sei eigentlich tatsächlich gar nichts geschehen.
So wurde in der Tat auf keine Datenbank von net.IPO zugegriffen, denn es handelte sich lediglich um ein Verzeichnis auf dem Balaton-Server (!), in dem unter anderem die verhängnisvolle Datei enthalten war. Dass damit der Anschein erweckt wird, es seien keine sensiblen Kundendaten nach außen gedrungen, erscheint in Anbetracht der tatsächlichen Umstände als Verschleierungstaktik. Darüber hinaus werden Paragraphen angeführt, die in diesem Zusammenhang gar nicht angewandt werden können, da die besagte Datei nicht wie im Gesetz festgehalten erkennbar geschützt war, sondern direkt und ohne Sicherheitsvorkehrungen zu durchbrechen geöffnet werden konnte.
War schon die Panne selbst unverzeihlich, da mit den Bankdaten von mehr als 2.000 Kunden in entsprechenden Händen eine ganze Menge Unfug angerichtet werden kann, so stellt diese Stellungnahme einen Tiefschlag für viele betroffene Kunden dar. Eine klare und eindeutige Entschuldigung hätte net.IPO sehr viel besser zu Gesicht gestanden als der Versuch, den Vorfall herunterzuspielen und mit Drohungen gegen den bzw. die Entdecker und Zeugen der Panne um sich zu werfen.
Es ist ohnehin davon auszugehen, dass durch diesen Vorfall eine neue Diskussion über die Sicherheit von Finanzdienstleistungen im Internet und die Herausgabe von sensiblen Daten gegenüber Dritten ausgelöst wird; im Gegensatz zu den bisher oft nur durch Hacker-Attacken überwundenen Sicherheitssystemen wurde hier ein sehr viel gröberer Schnitzer begangen, da keine größeren Qualitäten als das Abtippen oder Kopieren eines Links zur Erreichung der Kundendaten nötig waren. Um eine klare Entschuldigung und eindeutige Stellungnahme dürfte net.IPO darum wohl ohnehin so leicht nicht herumkommen.
Doch nicht nur der schlampige Umgang mit sensiblen Daten wirkt hier negativ, darüber hinaus erwecken Einblicke in die Datei der Kundendaten auch den Anschein, als hätten Unregelmäßigkeiten bei der Zuteilung stattgefunden. So ist es zumindest erstaunlich, dass teilweise ganze Familien mit vollständig gleicher Bankverbindung bei der Zuteilung durchgängig berücksichtigt wurden, andererseits aber auch sehr schnelle Zeichner nichts zu erhalten haben scheinen.
Insbesondere die von net.IPO oftmals proklamierte Transparenz des Zuteilungsverfahrens scheint damit ebenfalls in Frage gestellt, unangenehme Spekulationen über mögliche Bevorzugungen dürften unter Verwendung dieser Daten ebenfalls angestellt werden. Es könnte sein, dass auch dieser bislang noch wenig beachtete Teil des Datenschutz-Sakndals sich für net.IPO als verhängnisvoll erweist und einigen Ärger mit sich bringt; es dürfte jedenfalls noch einigen Aufklärungsbedarf auch in dieser Hinsicht geben.
Für den Anleger, der bereits investiert ist, heißt es Zittern: es steht zu befürchten, dass der Kurs am Montag nochmals massiv einbricht, wenn all diejenigen, die erst nach Börsenschluss oder am Samstag von der Panne erfuhren, noch aussteigen wollen. Darüber hinaus sind Schlagzeilen in weiteren Wirtschaftszeitschriften und Börsenbriefen wahrscheinlich, denn eine Sicherheitslücke solchen Ausmaßes gab es bislang noch bei keinem anderen Internet-Emissionshaus.
Da sich die Gemüter aber wohl bald wieder beruhigen werden und es eher unwahrscheinlich ist, dass dieser Vorfall sich negativ aufs operative Geschäft auswirken wird, könnte damit eine Chance auf sehr günstige Einstiegskurse in naher Zukunft anstehen. Man sollte jedoch nicht sofort am Montag Limits auf Vorrat setzen, sondern zunächst einmal abwarten, bis wohin die Kurse einbrechen. Es erscheint nicht unmöglich, dass die Tiefs in einer Übertreibungsreaktion nochmals getestet werden.
Auf jeden Fall verspricht net.IPO in nächster Zeit für einigen Gesprächsstoff zu sorgen; wir werden die Aktie in den kommenden Wochen verstärkt beobachten und eventuell nochmals über die weitere Entwicklung des Vorfalls berichten. Zumindest eines dürfte aber klar sein: der Imageschaden für net.IPO ist enorm und nur durch lupenreine Arbeit in den kommenden Monaten wieder auszubügeln. Bleibt für die betroffenen Kunden zu hoffen, dass es sich bei der Panne wirklich nur um einen einmaligen Zufall und nicht etwa um die übliche Schlamperei bei der Übermittlung der Datei an die Emissionsbanken handelte. Deren Vertrauen zurückzugewinnen stellt für net.IPO die vielleicht bislang größte Herausforderung dar.
