Die Softwarefirma HSH macht eGovernment-Dienstleistungen. Ein Bereich, der zukünftig immer wichtiger wird. Ihr Informationsregister-Tool wird dabei häufig von Einwohnermeldeämtern eingesetzt, um unsere (Melde-)Daten zu verabeiten. Darin werden dann Adressen, Passbilder und Religionszugehörigkeiten gespeichert, was das EInwohnermeldeamt halt über einen sammelt. Die Standard-Software wird aber immer mit einem Standard-Passwort ausgeliefert und das Standard-Passwort lag jahrelang auf der Webseite der Firma offen für den Test-Zugang herum. Soweit so gut, aber was passiert, wenn die IT-Abteilungen schlampen und niemand das Standard-Passwort entfernt?
Das ARD-Magazins „Report München“ berichtet nun, dass einige Städte und Gemeinden dieses Standard-Passwort niemals ausgewechelt haben: Bürgerdaten ungeschützt im Internet? Die Daten von 200 Städten und Gemeinden waren damit frei im Netz zugänglich. Seit Freitag gibt es nun andere Passwörter.
Die betroffene Softwarefirma HSH meldete derweil, dass die Sicherheitslücke inzwischen geschlossen sei. Weiter teilte das Unternehmen mit, dass wegen der Panne die Meldedaten von 15 deutschen Kommunen monatelang im Internet frei verfügbar gewesen seien. Mit Hilfe eines Zugangscodes war es möglich, Adressen, Passbilder und Religionszugehörigkeiten von etwa 500.000 Bürgern herauszufinden, wie das Unternehmen aus Ahrensfelde bei Berlin mitteilte. Nutzerkennung und Passwort waren demnach auf einer Webseite zwischen März und Juni verfügbar. In welchem Umfang sich in den vergangenen Jahren Unberechtigte – von Privatleuten über Werbefirmen bis hin zu Kriminellen – Zugang zu den Einwohnermelderechnern verschafft hätten, lasse sich nicht abschätzen.
[Danke an Karsten]