Die Job-Börse eFinancialCareers wurde das Opfer einer Hacker-Attacke. Das verunsichert die Benützer von Stellenportalen. Wo liegen die Risiken?
finews.ch kooperiert seit langem mit dem Schweizer Stellenportal JobDirectory.ch. Geschäftsführer Chris Nokes (Bild) analysiert den jüngsten Angriff auf die Konkurrenz und erklärt, worauf User bei Stellenportalen acht geben sollten.
Herr Nokes, was sind die Ursachen einer solchen Hacker-Attacke?
Ein Angriff wird auf Grund ungenügender Sicherheitsvorkehrungen bei der Hosting-Firma möglich. Für diese ist ein solcher Vorfall mit einem katastrophalen Imageverlust verbunden. eFinancialCareers läuft auf einem Server im Rechenzentrum der Muttergesellschaft Dice Holdings in den USA.
Was schliessen Sie daraus?
Es könnte sein, dass der Kostendruck einerseits und der Mangel an Vorschriften in den USA andererseits die IT-Verantwortlichen dazu verleiteten, die Sicherheitsaspekte zu vernachlässigen. In Europa sind die gesetzlichen Bestimmungen tatsächlich viel strenger.
Warum ist eine Hacker-Attacke auf eine Stellen-Plattform heikel?
Je mehr Daten gespeichert sind, desto grösser das Sicherheitsrisiko. Auf eFinancialCareers müssen verschiedene Benutzerdaten eingegeben werden, damit eine Bewerbung überhaupt möglich ist. (Unter diesem Link ist ein typisches Beispiel).
Warum diese Ausführlichkeit?
eFinancialCareers will so viel wie möglich über das «Bewerbungsverhalten» der User wissen.
Ist das nicht bei jedem Stellenportal üblich?
Bei uns wird jede Jobview-Anfrage direkt zur Website des Arbeitgebers weitergeleitet. Dafür müssen wir keine User-Daten speichern. Unser Konzept ist völlig anders: Bei uns werden die Stellensuchenden direkt an die Arbeitgeber-Websites verwiesen. eFinancialCareers funktioniert autonom. Es spielt überhaupt keine Rolle, ob der Arbeitgeber eine Stelle online ausgeschrieben hat oder nicht. Hier geht es in erster Linie um das Sammeln von Bewerberdaten – ein Vorhaben, das uns fremd ist.
Um einen gezielten Service zu erhalten, müssen sich die User aber auch bei Ihnen abonnieren.
Richtig, wie bei jeder Jobbörse auch. Der Benützer muss seine Email-Adresse eingeben. Doch wir verlangen keine persönlichen Angaben wie Name, Adresse, etc. Wir speichern keine weiteren Daten ab.
Immerhin haben Sie aber Zugriff auf Tausende von Email-Adressen.
Wir selber nicht. Der Zugriff erfolgt mittels eines sicheren Verfahrens von individuell designierten PCs, wo die notwendigen geheimen Encryption Keys physisch installiert sind. Gewisse Email-Adressen könnten wir auf Anfrage schon bestellen.
Auf der Website von eFinancialCareers ist nach wie vor überhaupt kein Hinweis auf diesen Hacker-Angriff zu lesen. Ist das nicht komisch?
Offenbar hat die Firma kein Krisenmanagement. Auf ihrer Policy-Seite liest man allerdings, dass die Muttergesellschaft, die Dice Holdings, mit der Firma TRUSTe kooperiert. Auf deren Website liest man folgendes: «See how TRUSTe privacy products and programs have helped online businesses like yours increase conversion rates, average deal size, and customer engagement throughout your customer’s lifecycle».
Was sagt uns das?
eFinancialCareers will so viel wie möglich wissen über ihre Benutzer. Konkret heisst das: Name und Vorname, Wohnsitz, Postleitzahl, Land, Telefon, aktuelle Branche, Berufserfahrung, Bewerbungsschreiben und Lebenslauf. Das heisst, dass eFinancialCareers genau so viel weiss wie der Stellenanbieter über den Bewerber. Das finde ich übertrieben.
Worauf sollten Benützer von Job-Portalen achten, wenn sie solche Dienste künftig in Anspruch nehmen?
1. Ist der Betreiber des Job-Portals mit einem Büro in der Schweiz vertreten? Seiten wie Moneyhouse.ch oder Easymonitoring.ch geben Auskunft darüber. Wenn nicht, hat man kaum rechtliche Mittel, etwas zu unternehmen, falls eine Panne eintritt.
2. Wieviele persönliche Daten soll man einem Portal-Betreiber liefern? Wenn einem die Menge der verlangten Angaben verdächtig vorkommt, ist Vorsicht geboten.
3. Wo sind die persönlichen Daten gespeichert? In der Schweiz und in EU-Staaten sind die Vorschriften streng. In anderen Ländern gilt die Devise: caveat emptor – Der Käufer muss acht geben.
Das Unternehmen eFinancialCareers legt im Zusammenhang mit den erwähnten Vorkommnissen Wert auf folgende Feststellungen:
- 1. Die eFinancialCareers‘-Daten sind zwar in den USA gespeichert, aber das Unternehmen ist «safe harbour compliant», also den europäischen Richtlinien völlig entsprechend zertifiziert.
- 2. Die Benutzer müssen sich keineswegs über die eFinancialCareers-Webseite bewerben – die Entscheidung, wie der Bewerbungsprozess abläuft, liegen beim jeweiligen Recruiter.
- 3. Das Unternehmen hat ein Crisis Management.
- 4. Alle registrierten Benutzer wurden sofort per Email kontaktiert; seperat wurden Sicherheitsmassnahmen und Sicherheitshinweise auf allen eFinancialCareers-Seiten geposted.
-
Ja, es gab keine andere, wirtschaftlich sinnvolle Alternative.26.62%
-
Nein, man hätte die Credit Suisse abwickeln sollen.18.47%
-
Nein, der Bund hätte die Credit Suisse übernehmen sollen.28.28%
-
Man hätte auch ausländische Banken als Käufer zulassen sollen.9.16%
-
Man hätte eine Lösung mit Schweizer Investoren suchen sollen.17.46%
