Wie EstateGuru Ihre Daten schützt

How EstateGuru protects your data

Nach der jüngsten Datenpanne bei der Carsharing-App CityBee, bei der 110.000 Nutzerkonten erbeutet wurden, dachten wir uns, dass es ein guter Zeitpunkt ist, unsere Nutzer über den Datenschutz bei uns zu informieren.

Bei EstateGuru verfolgen wir in Sachen Datenschutz einen ganzheitlichen Ansatz, was bedeutet, dass wir mehrere Sicherheitsebenen haben.

Auf der obersten Ebene stellen wir sicher, dass alle Benutzernamen eindeutig sind. Ihr Benutzername wird auch als Ihr EG-Code bezeichnet und enthält weder Ihren Namen noch andere persönliche Daten. Darüber hinaus weisen wir Nutzer darauf hin, bei Möglichkeit eine harte Authentifizierungsform zu verwenden, z. B. Smart-ID, Mobile-ID, eine digitale ID usw. 

Alle unsere Nutzer-Passwörter werden verschlüsselt und wir bieten auch die Möglichkeit, eine Zwei-Faktor-Authentifizierung für alle kritischen Aktionen wie Investitionen, Geldabhebungen usw. zu verwenden. Der Ablauf mag zwar etwas langsamer und komplizierter sein, aber damit sind Sie auf der sicheren Seite.

Sie werden auch bemerkt haben, dass wir Sie über jede einzelne Kontobewegung benachrichtigen. Manche Nutzer empfinden das möglicherweise als Spam, jedoch handelt es sich um eine hervorragende Maßnahme gegen Betrug. Schließlich sind Sie damit der Erste, der Ungereimtheiten bemerken wird.

Unser Team überwacht alle Konten ständig auf Anomalien, wie z. B. ungewöhnliche Abhebungen oder Investitionsmuster. Wir handeln sofort, wenn wir etwas Verdächtiges bemerken.

Unsere Richtlinien zur Verifizierung von Nutzern und Konten sind streng und rigoros. Wir sind strikt gegen Abkürzungen und Halbherzigkeiten. Auch wenn wir Beschwerden über ein sperriges Nutzungserlebnis erhalten, sind wir der Meinung, dass wir lieber unsere Nutzer und ihre Gelder bestmöglich schützen möchten, als der Bequemlichkeit Vorrang zu gewähren.

Alle Nutzerdaten wie Ausweisdokumente, Bankkontodaten etc. werden getrennt vom eigentlichen Konto gespeichert, d. h. Nutzer haben keinen Zugriff auf diese Dokumente und Informationen. 

Intern haben wir strenge Zugriffsrichtlinien auf unsere Cloud-Server eingerichtet und der Zugriff der Mitarbeiter auf die internen Systeme ist extrem eingeschränkt.

Zusammenfassend lässt sich sagen, dass es bei uns ein fünfstufiges Sicherheitssystem gibt:

  1. Beitritt: Anmeldung und Verifizierung
  2. Kontonutzung: Fortlaufende Benachrichtigungen zum Investieren, Abheben und Einzahlen
  3. Authentifizierung und Bestätigung von Aktionen
  4. Technische Sicherheitsmaßnahmen zum Datenschutz
  5. EG-Betriebssicherheit (wer hat wie Zugriff auf Daten und auf welche Kundeninformationen) & Prozesse (um Lecks zu vermeiden)

Unterschiede zwischen EstateGuru und CityBee

Nach dem CityBee-Leck haben uns viele Investoren kontaktiert und ihre Sorge geäußert, dass etwas Ähnliches mit ihren EstateGuru-Daten passieren könnte.

Zunächst einmal ist ein Vergleich unserer Sicherheitsmaßnahmen mit denen von CityBee wie ein Vergleich von Äpfeln mit Birnen. Wir werden uns aber trotzdem um einen Vergleich bemühen.

Die Erklärung muss leider recht technischer Natur sein, wofür wir um Verständnis bitten.

Das CityBee-Leck entstand, weil die Kundendatenbank auf einem ungesicherten Microsoft-Azure-Blob gespeichert war. Der Hacker nutzte dann das DNS-Tool von Rapid7 und dessen Open-Data-Forward-Funktion, um einen Reverse-DNS-Lookup zu machen. Anschließend wurde eine Brute-Force-Attacke auf Verzeichnisse im Blob durchgeführt, woraufhin der Hacker fündig wurde und die besagten Konten herunterladen konnte. Das größte Problem dabei ist, dass der Hack offenbar bereits im Jahr 2018 stattfand und CityBee bis Februar 2021, als die Daten zum Verkauf angeboten wurden, nichts davon wusste.

Unsere Daten sind nicht auf die gleiche Weise gespeichert. Die IT-Daten von EstateGuru liegen bei völlig anderen Diensten verteilt, die nicht diese technischen Schwachstellen aufweisen. Wir halten uns genau an die von den Dienstleistern empfohlenen Sicherheitsmechanismen.

Der Hauptunterschied liegt in der Datenverwaltung. Hacker nutzen sehr selten technische Schwachstellen an sich. Sie zielen mehr auf Lücken ab, die durch schlechtes Datenmanagement entstehen.

Die CityBee-Passwörter waren durch einen veralteten und schwachen SHA1-Algorithmus geschützt. 

Unsere Sicherheitssysteme werden ständig überprüft und aktualisiert, um sicherzustellen, dass wir nur die aktuellsten Maßnahmen einsetzen. So ist beispielsweise unser Passwort-Hashing-System um mehrere Größenordnungen sicherer als das von CityBee verwendete.

Letztendlich ist aber auch dies alles eine Frage des menschlichen Einsatzes. Der wichtigste Teil der Datensicherheit ist die ständige Überwachung, was von CityBee anscheinend nicht durchgeführt wurde, von uns aber sehr wohl. Es gibt Frühwarnsysteme, die jeden potenziellen Angriff abfangen und an der Quelle blockieren.

Wir werden weiterhin Ihre Daten schützen und Ihnen eine sichere Investitionsumgebung bieten.