Epsilon: Was Marketing-Firmen wirklich über Kunden wissen

Letzte Woche musste der US-Marketing-Dienstleister Epsilon bekanntgeben, einen Teil seiner Kundendaten durch einen Hackereinbruch verloren zu haben. Es soll sich nur um die Kombination von Namen und E-Mail-Adresse handeln. Angeblich sind die Daten von etwa zwei Prozent der Epsilon-Kunden betroffen.

Darunter sind zahlreiche bekannte Marken, unter anderem Citibank, Chase, Capital One, American Express, Walgreens, Target, Best Buy, TiVo, TD Ameritrade, Verizon und Ritz Carlton. Inzwischen ermittelt sogar der US-Geheimdienst.

Allein die Kombination von E-Mail-Adresse und Namen sind für Phisher eine lohnende Beute. Sie können ihre Opfer in Spam-Mails persönlich mit Namen ansprechen, etwa nach dem Muster: „Sehr geehrter Herr X, als Teilnehmer am Bonusprogramm unserer Hotelkette haben Sie eine kostenlose Übernachtung für zwei Personen gewonnen. Bitte loggen Sie sich dazu unter folgendem Link auf unserer Website ein“. Kurze Zeit später besitzen die Betrüger mehr als nur Namen und E-Mail-Adresse.

Weitaus erschreckender ist aber, das Firmen wie Epsilon wesentlich mehr Daten besitzen. „Die E-Mail-Abteilung von Epsilon ist nur ein kleiner Teil der Firma“, erläutert Dave Frankland, Vice President und Principal Analyst bei Forrester Research, gegenüber ZDNet.

Epsilon verwaltet für seine Auftraggeber komplette Kundendatenbanken. Dazu durchsucht es systematisch soziale Netzwerke und sammelt neben persönlichen Daten auch Aussagen über Firmen und Produkte. Epsilon ist auch Betreiber der Abacus-Datenbank, nach eigenen Angaben „die größte ‚kooperative‘ Datenbank mit 8,6 Milliarden Endkunden- und 4,8 Milliarden Geschäftstransaktionen. Sie wird dazu verwendet, das Einkaufsverhalten auszuwerten und Listen potenzieller Kunden zu generieren.

Zu den Daten, die Epsilon verkauft, gehören Alter, Beruf, Wohnsitz, ethnische Zugehörigkeit und politische Einstellung. Das jedenfalls sagt eine Liste der Security-Firma Magmatic.

Kunden, die per Opt-in einwilligen, ihre Daten zu Marktforschungszwecken zu verarbeiten, wissen oft gar nicht, dass die Firma, der sie vertrauen, ein Marketing-Unternehmen beauftragt. Das wiederum kombiniert Daten von zahlreichen anderen Unternehmen und aus sonstigen Quellen, beispielsweise soziale Netzwerke, um ein umfassendes Persönlichkeitsprofil zu erstellen.

Um so schlimmer ist es, wenn diese Firmen keine ausreichenden Sicherheitsstandards haben, um diese Daten zu schützen. Ein ehemaliger Technologie-Experte der Citibank, der an der Schnittstelle zwischen der Bank und Epsilon gearbeitet hatte und später entlassen worden war, sagte gegenüber ZDNet, dass er das Know-How von Epsilon beim Thema Sicherheit damals angezweifelt habe. Seine Empfehlung habe gelautet, dass die Citibank ein eigenes Bonusprogramm entwickeln solle. Das sei aber auf taube Ohren gestoßen.