Datenpannen bei Einwohnermeldeämtern

Die Softwarefirma HSH macht eGovernment-Dienstleistungen. Ein Bereich, der zukünftig immer wichtiger wird. Ihr Informationsregister-Tool wird dabei häufig von Einwohnermeldeämtern eingesetzt, um unsere (Melde-)Daten zu verabeiten. Darin werden dann Adressen, Passbilder und Religionszugehörigkeiten gespeichert, was das EInwohnermeldeamt halt über einen sammelt. Die Standard-Software wird aber immer mit einem Standard-Passwort ausgeliefert und das Standard-Passwort lag jahrelang auf der Webseite der Firma offen für den Test-Zugang herum. Soweit so gut, aber was passiert, wenn die IT-Abteilungen schlampen und niemand das Standard-Passwort entfernt?

Das ARD-Magazins „Report München“ berichtet nun, dass einige Städte und Gemeinden dieses Standard-Passwort niemals ausgewechelt haben: Bürgerdaten ungeschützt im Internet? Die Daten von 200 Städten und Gemeinden waren damit frei im Netz zugänglich. Seit Freitag gibt es nun andere Passwörter.

Die betroffene Softwarefirma HSH meldete derweil, dass die Sicherheitslücke inzwischen geschlossen sei. Weiter teilte das Unternehmen mit, dass wegen der Panne die Meldedaten von 15 deutschen Kommunen monatelang im Internet frei verfügbar gewesen seien. Mit Hilfe eines Zugangscodes war es möglich, Adressen, Passbilder und Religionszugehörigkeiten von etwa 500.000 Bürgern herauszufinden, wie das Unternehmen aus Ahrensfelde bei Berlin mitteilte. Nutzerkennung und Passwort waren demnach auf einer Webseite zwischen März und Juni verfügbar. In welchem Umfang sich in den vergangenen Jahren Unberechtigte – von Privatleuten über Werbefirmen bis hin zu Kriminellen – Zugang zu den Einwohnermelderechnern verschafft hätten, lasse sich nicht abschätzen.

[Danke an Karsten]

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

8 Ergänzungen

  1. Wichtiges Thema, in der Tat. Hier im konkreten Fall ist der Tagesschautext allerdings leider mal wieder eine peinliche reißerische Werbung für eines der Magazine aus dem eigenen Haus. Auf http://www.hsh-berlin.com/ hört sich das alles sehr viel entspannter an.

    Und selbst SPON schafft es, die Meldung sachlich wiederzugeben und weist deutlich auf die unterschiedlichen Aussagen von Report und Firma hin: http://www.spiegel.de/netzwelt/web/0,1518,561461,00.html

    Gerade das bedeutungsschwangere „jahre“ und „lasse sich nicht abschätzen“ scheint ja relativ klar anders zu sein.

    Zeigt trotzdem natürlich mal wieder schön, das Daten niemals sicher sind. Und der Mensch im Zweifel die größte Fehlerquelle ist.

  2. Heute berichtet die netzzeitung auch darüber: Datenleck bei Kommunen: Auch Günter Jauch theoretisch gläsern.
    Die taz: Informationslecks im Internet. Sensible Daten, schlecht geschützt:

    Nicht, dass eine Absicherung sensibler Anwendungen im Internet unmöglich wäre: Technologien wie virtuelle private Netzwerke (VPNs), die den gesamten Datenverkehr vom Nutzerrechner bis zum Server verschlüsseln, sind seit langem vorhanden. Auch helfen so genannte „Application Firewalls“ – Torwächtercomputer für Web-Programme -, dass Hackangriffe ins Leere laufen. Das Problem ist allerdings, dass sie längst nicht überall eingesetzt werden. Im Fall der Meldedatenaffäre wundert sich Experte Rosche, dass es überhaupt möglich gewesen ist, sich mit einer einfachen Account-Passwort-Kombination als „Superbenutzer“ anzumelden. „Solche Systeme benötigen ganz andere Absicherungssysteme. Ein Geldhaus käme ja auch nicht auf die Idee, beim Homebanking ohne PINs und TANs zu arbeiten.“ Viele dieser Lösungen seien „erstaunlich schlecht programmiert“, Organisationen überfordert, mit der komplexen Technik der neuen „E-Government“-Anwendungen umzugehen. „Die Behörden holen sich jetzt eine blutige Nase.“

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.