Vor Wochenfrist hat Digitec eine Kundeninformation mit dem Betreff "Ihre Gutschein-Codes wurden ersetzt" verschickt. Wie in der Mail zu lesen war, habe man "aus technischen Gründen" bestehende, noch nicht eingelöste Gutscheine-Codes deaktivieren und durch neue Codes ersetzen müssen.
Nun hat sich aber gezeigt, dass es sich bei diesen "technischen Gründen" um einen Sicherheitsvorfall handelte. Wie Digitec auf eine Anfrage von "Swiss IT Magazine" erklärte, seien Unregelmässigkeiten bei der Einlösung von Gutschein-Codes festgestellt worden. "Durch eine fehlerhaft implementierte Prüfmethode war es mit entsprechendem IT-Wissen und genügend krimineller Energie kurzzeitig möglich, fremde Gutschein-Codes auszulesen", so
Digitec. Man habe den Fehler entdeckt und behoben und als Sicherheitsmassnahme "einige Codes" gesperrt und durch neue ersetzt. Digitec behauptet, dass nicht alle Gutscheincodes betroffen sind, macht aber keine Angaben zum Umfang der Unregelmässigkeiten. Die Probleme sind aber offenbar auch beim Schwester-Warenhaus Galaxus aufgetreten. Wichtig ist dem Unternehmen noch zu erwähnen, dass zu keinem Zeitpunkt ein Zugriff auf das Kundenkonto beziehungsweise auf die persönlichen Daten im Kundenkonto möglich war.
Eher dilettantisch war derweil Digitecs Herangehensweise zur Lösung der Probleme – und das gleich auf mehreren Ebenen. Dazu muss man sich vor Augen führen, dass Gutscheine in der Regel nicht für den Eigengebrauch gekauft, sondern verschenkt oder allenfalls verlost werden. In seiner Kundeninformation adressierte Digitec dies folgendermassen: "Sollten Sie Gutscheine an Dritte verschenkt haben, bitten wir Sie, besagten Personen die neuen Gutschein-Codes mitzuteilen." Digitec geht also davon aus, dass der Käufer der Gutscheine mit sämtlichen Beschenkten noch in Kontakt steht – was doch einigermassen realitätsfremd erscheint. Doch das ist nur der Anfang.
Will man als Gutschein-Verschenker herausfinden, welcher neue Code welcher beschenkten Person gehört, wird’s kompliziert. Unter dem Menüpunkt Geschenkgutscheine im Kundenkonto des Gutscheinkäufers nennt Digitec nämlich lediglich das Ausstelldatum, den ursprünglichen und noch einlösbaren Betrag, die Gültigkeit und den Status des Gutscheins. Ausserdem findet man den neuen Code, nicht aber den, der damit ersetzt wird. Hat man nun – beispielsweise als Firmenweihnachtsgeschenk – eine ganze Reihe an Gutscheinen an demselben Tag gekauft, hat man keine Chance herausfinden, welcher Code durch welchen ersetzt wurden – sprich: Welchem Mitarbeitenden welcher neue Gutscheincode gehört. Auf unsere Frage, ob Digitec hier keinen kundenfreundlicheren Weg gefunden habe, ging das Unternehmen erst gar nicht ein.
Und den dritten Fauxpas leistete sich
Digitec, wenn in den ersten Tagen nach der Kundeninfo nun tatsächlich versucht wurde, einen der ersetzten Gutscheine einzulösen. Wurde nämlich einer der deaktivierten, aber eigentlich noch gültigen Gutscheincodes eingeben, bekam der Inhaber des Gutscheins die Meldung angezeigt: "Der eingegebene Code ist ungültig." Immerhin und wohl nicht zuletzt aufgrund der Fragen durch "Swiss IT Magazine" hat Digitec dies in der Zwischenzeit durch die Meldung "Dieser Gutscheincode wurde aus technischen Gründen gesperrt und durch einen neuen Code ersetzt. Kontaktiere bitte unseren Kundendienst" ersetzt.
Und so muss man wohl davon ausgehen, dass die Aktion, obwohl nicht mutwillig, dafür sorgt, dass eine ganze Reihe an Digitec-Gutscheinen nie eingelöst werden wird. Die Frage, von wie vielen eingelösten Gutscheinen man bei internen Hochrechnungen aufgrund des Vorfalls ausgehe, wollte Digitec nicht beantworten. Zumindest erklärt das Unternehmen, dass Gutscheine, deren Ablaufdatum überschritten wurde, trotzdem eingelöst werden können. Ein Anruf beim Kundendienst genüge, um das Datum zu verlängern. Und: "Wir sind bestrebt, die Einlösung von Gutscheinen trotz der erhöhten Sicherheitsmassnahmen so unkompliziert wie möglich zu halten."
(mw)
