„Die Basis“Corona-Protest-Partei stellte Mitgliederdaten ungeschützt ins Netz

Das Hackerkollektiv Anonymous hat im Netz Daten von tausenden Mitgliedern der Partei „Die Basis“ entdeckt. Eine Auswertung von netzpolitik.org zeigt: In dem Datensatz sind nicht nur Adressen, sondern auch Nummern von Personalausweisen und Bankverbindungen enthalten. Die Partei gibt zu, selbst schuld am Datenleck zu sein.

Die Anonymous-Aktivist:innen überwanden keine Schutzmauer, sie marschierten an ihr vorbei.
Die Anonymous-Aktivist:innen überwanden keine Schutzmauer, sie marschierten an ihr vorbei. CC-BY-SA 4.0 Anonymus-ng

Die Corona-Protest-Partei „Die Basis“ hat Daten ihrer Mitglieder ungeschützt ins Netz gestellt. Das Hackerkollektiv Anonymous hat eine Liste mit rund 15.000 Namen und hunderten Dokumenten gefunden, darunter Scans handschriftlich ausgefüllter Beitrittsformulare, zum Teil sogar mit Nummern von Personalausweisen und Bankdaten. Die Partei spricht in einer Stellungnahme von einem Hackerangriff auf die Demokratie. Doch der Weg, auf dem Anonymous die Daten fand, ist geradezu banal. Wohl praktisch jede:r hätte auf sie stoßen können.

Zu dem, was am Sonntag tausendfach abgeflossen ist, gehören Namen, E-Mail-Adressen, Wohnanschriften und Telefonnummern von aktuellen und ehemaligen Mitgliedern sowie Förderer:innen der Partei, die „Querdenken“ nahesteht und die staatlichen Schutzmaßnahmen vor dem Coronavirus konsequent ablehnt.

Veröffentlicht hat Anonymous aus diesem Datensatz kaum etwas, auf einem Blog lediglich einige Angaben zu prominenten Personen aus dem Umfeld der „Querdenken“-Bewegung gemacht.

Der Datensatz

Wie gravierend die Panne dennoch ist, zeigt eine Auswertung von netzpolitik.org. In Excel-Dateien, die wir einsehen konnten, hat „Die Basis“ umfangreiche Datensätze zu rund 15.000 Personen gesammelt. Nicht nur der überwiegende Teil der aktuellen Mitglieder ist gelistet, auch mehrere hundert Menschen sind betroffen, welche die Partei wieder verlassen haben – zum Teil bereits vor etwa fünf Monaten. Anstatt deren Daten zu löschen, speicherte „Die Basis“ sie weiterhin auf dem Webserver.

Neben Kontaktmöglichkeiten erfasste „Die Basis“ Angaben wie das Geburtsdatum. Sie hielt penibel fest, wer außerdem noch Mitglied einer weiteren Partei ist. Angaben zu den Mitgliedsbeiträgen, die sich demnach unterscheiden, finden sich ebenfalls in den Excel-Dateien. Darüber hinaus sind noch mehr als 500 Schriftsätze geleakt, vereinzelt enthalten sich auch Bankdaten von Parteimitgliedern.

Unter den Dateien, die ungeschützt auf dem Webserver lagen, sind sogar von Mitgliedern unterschriebene Vertraulichkeitserklärungen. „Da du im Rahmen [der] Parteiarbeit bei ‚Die Basis’ möglicherweise mit personenbezogenen Daten in Kontakt kommst, verpflichten wir dich hiermit zur Beachtung des Datenschutzes“, heißt es darin etwa.

Dabei offenbart der Fall nun erhebliche Versäumnisse beim Betrieb der Mitgliederplattform. „Offenbar fehlt es der ‚Basis‘ an einigen Basiskompetenzen – auch im Bereich der IT“, sagt Linus Neumann, Sprecher des Chaos Computer Clubs.

Die Methode

Anonymous hat inzwischen offengelegt, wie die Aktivist:innen vorgegangen sind – die Partei selbst hat die Darstellung gegenüber netzpolitik.org grundsätzlich bestätigt. IT-Kenntnisse waren demnach nicht nötig, höchstens ein Mindestmaß an Fantasie. Das hängt damit zusammen, dass der Webserver dilettantisch eingerichtet worden war.

Für die Verwaltung ihrer Mitglieder betreibt „Die Basis“ ein eigenes Portal, zu finden unter „mitglieder.diebasis-partei.de“. Um Zugang zu erhalten, muss man eigentlich einen Benutzernamen und ein Passwort kennen. Diese Schutzmauer überwanden die Anonymous-Aktivist:innen aber gar nicht. Sie konnten einfach an ihr vorbeimarschieren.

Websites mögen unterschiedlich aussehen, aber ihr Fundament ist häufig ähnlich und damit auch die Dateistruktur. Bilddateien zum Beispiel werden gemeinhin im Verzeichnis „images“ oder „uploads“ gespeichert. Die Anonymous-Aktivist:innen haben auf dem „Die Basis“-Server noch ein anderes Verzeichnis gefunden. Es ist das Verzeichnis, in dem die sensiblen Dateien lagerten: „download“.

Wer „mitglieder.diebasis-partei.de/download“ heute in der Adresszeile des Webbrowsers eingibt, erhält eine Fehlermeldung – die Sicherheitslücke wurde geschlossen: „Die angeforderte URL wurde auf diesem Server nicht gefunden.“ Am Sonntagnachmittag war an derselben Stelle noch ein gesamtes Verzeichnis einsehbar gewesen.

Das Verzeichnis „mitglieder.diebasis-partei.de/download“ am Sonntag - Alle Rechte vorbehalten Screenshot AnonLeaks

Die Anonymous-Aktivist:innen haben nach eigenen Angaben zwar ein Programm genutzt, um über einen Zeitraum von fünf Tagen sämtliche Dateien unauffällig herunterzuladen – man hätte diese theoretisch aber genauso gut mit der Maus anklicken können, eine nach der anderen. Oder auch nur die Datei „auswertung.xlsx“ mit den rund 15.000 Datensätzen.

Der Anfängerfehler

Das Problem war nicht, dass es dieses „download“-Verzeichnis gab, sondern dass sein Inhalt für Besucher:innen ohne Weiteres einsehbar war – ein Fehler, wie ihn normalerweise höchstens Anfänger:innen machen. Zudem waren die Daten unverschlüsselt.

„Die Basis“ bekam von alldem nach eigenen Angaben erst etwas mit, als es schon zu spät war und Anonymous am Sonntag auf die Veröffentlichung hinwies. Am Abend habe die Partei ihre Mitglieder informiert, sagt ihr Medienbeauftragter David Claudio Siber gegenüber netzpolitik.org. Eine Selbstanzeige bei der Datenschutzbehörde sei geplant.

Auch die „Die Basis“ weiß inzwischen, wie vermeidbar das Datenleck gewesen wäre – Siber sagt, man hätte es innerhalb von Minuten finden und schließen können. „Der Fehler liegt bei uns.“ Man könne aber ausschließen, dass noch jemand anders diese Sicherheitslücke ausgenutzt habe.

„Wir sind Anonymous Deutschland* dankbar, dass sie uns den Denkzettel verpasst haben, aber die Mitgliederdaten nicht veröffentlicht wurden“, so Siber. Dennoch halte man den Vorfall für einen Angriff, der strafrechtliche Folgen haben werde. Dabei geht es auch um die Privatadresse eines szenebekannten „Querdenken“-Anwalts, die Anonymous in diesem Zusammenhang öffentlich gemacht hat.

Die Partei gibt an, sie habe noch in der Nacht Anzeige wegen Datendiebstahls bei der Polizei an ihrem Hauptsitz Berlin gestellt. Diese bestätigt am Dienstagnachmittag ein Ermittlungsverfahren. Es gehe dabei um den Verdacht des Ausspähens von Daten.

Die Vorgeschichte

Es ist nicht der erste Konflikt der Protest-Szene mit Anonymous. Seit bald einem Jahr bekämpft das Kollektiv Verschwörungsideolog:innen und Gruppen, welche die Pandemie verharmlosen. Zu den Zielen der „OpTinfoil“ (Operation Alu) zählten der Rechtsextremist Attila Hildmann und der Sektenführer Ivo Sasek, aber auch die Corona-Protest-Partei „Widerstand 2020“, die im Frühjahr des vergangenen Jahres entstanden war.

54 Tage nach der Gründung wurde „Widerstand 2020“ schon wieder aufgelöst, kurze Zeit später entstanden zwei faktische Nachfolgeparteien: „Wir 2020“ und „Die Basis“. Dass im nun abgeflossenen Datensatz sogar Nummern von Personalausweisen enthalten sind, hänge auch damit zusammen, dass „Die Basis“ ihre Mitglieder genau überprüfe. „Im Gegensatz zu ‚Widerstand 2020‘ stellen wir sicher, dass die Person real existiert“, sagt Siber.

Er spielt auf einen früheren Zusammenstoß mit Anonymous an, der maßgeblich zum Ende von „Widerstand 2020“ beitrug. Man könnte sagen, die Aktivist:innen hatten damals genau das Gegenteil dessen getan, was nun der „Basis“ passiert ist: Mithilfe eines Computerprogramms erstellten sie so viele Neuanmeldungen, bis „Widerstand 2020“ zigtausende erfundene Mitglieder hatte. Damals waren die Daten gefälscht. Diesmal sind sie echt.


Der Medienbeauftragte der „Basis“ David Claudio Siber hat uns am Dienstagmorgen gebeten, zu ergänzen, dass er „Anonymous Deutschland“ dankbar sei – am Telefon hatte er zuvor bloß von „Anonymous“ gesprochen. Er sei nun jedoch darauf hingewiesen worden, dass „Anonymous Deutschland“ und „Anonymous“ nicht dasselbe seien. Wir haben das im Text auf seinen Wunsch hin geändert.

Aktualisierung (Dienstag, 15.24 Uhr): Die Pressestelle der Polizei Berlin hat inzwischen gegenüber netzpolitik.org eine Strafanzeige von „Die Basis“ bestätigt. Sie hatte zunächst mitgeteilt, nichts von dem Fall zu wissen, zu einer konkreten Vorgangsnummer wollte sich das Lagezentrum am Montagabend nicht äußern. Wir haben den Text entsprechend ergänzt.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

5 Ergänzungen

  1. Warum dürfen Nutzerdaten überhaupt auf derselben Maschine liegen, die auch Webseiten ausliefert?

    Oh die großen machen es auch so, Kosten usw. – naja dann…

  2. Es kann sich nicht jeder einen Master of IT-Security leisten und wie man so schön überall lesen kann: Eine hundertprozentige Sicherheit gibt es NUR, wenn die Webseiten offline sind!

    Allerdings muss ich ehrlich sagen, das in den IT-Ausbildungen & IT-Studiengänge auch es als Standart festgelegt werden muss, dass man die Basics zum Thema IT-Sicherheit gelehrt bekommt und, dass man auch gelehrt bekommt wie man Schwachstellen ausnutzen kann!

    Denn NUR wer weiß wie man Schwachstellen ausnutzen kann, der kann auch auch dagegen setzen!

  3. Anfängerfehler, wenn der ftp Port offen liegt? Noch dazu unverschlüsselt? Dummheit oder Absicht? Zufall? Und das Internet hat nicht einmal Demenz oder in der Steigerung Alzheimer. Es vergisst nichts. Das ist auch eine gewisse Sicherheit. Datenschutz gibt es nicht. Nichts ist sicherer, als der Tod. Das sollte jeder Webmaster oder Systemadministrator immer bedenken. Man sollte den CCC zu Rate ziehen. Oder am besten gleich die NSA oder den BND bzw. die neue „Hackerbehörde BSI“.

    1. „Anfängerfehler, wenn der ftp Port offen liegt?“

      Artikel bitte erneut lesen.
      Danke!

  4. Guten Tag, Herr Laufer!
    Ich gehöre zu en Mitgliedern der Partei „Die Basis“ und möchte Ihnen zu Ihrem Artikel eine Rückmeldung geben.
    Die Kritik am laienhaften Umgang mit Mitgliedsdaten ist berechtigt und ärgert auch mich. Einen Tag nachdem „die Basis“ mich angeschrieben, über diesen Fehler unterrichtet und entschuldigt hatte, bekam ich eine Drohmail von Anonymous bzw. Anonleaks, in der ich aufgefordert werde, aus der Partei (die den Umsturz des Systems plant) auszutreten und angesprochen werde als „Sehr geehrte Frau ……. , wir hoffen dass du hast Dich gut von deinem anstrengenden Demowochenende gegen die Merkeldiktatur erholt hast, hoffentlich, denn jetzt kommt noch ein kleines Betthupferl …“
    Dann werden mir meine persönlichen Daten aufgeführt (im Sinne von „wir wissen, wer du bist!) und unterschrieben mit Dein Anonymous…. Wir vergeben nicht, wir vergessen nicht, erwarte uns….

    Aber möglicherweise sind Ihnen solche Anschreiben bekannt.

    Ich empfinde diese Art angesprochen zu werden als zutiefst beleidigend und bin schockiert über disen Einschüchterungsversuch. Ich möchte nicht über den Inhalte der „Basispartei“ sprechen, darüber kann man anderer Meinung sein. Nur grundsätzlich: es ist ein Partei, die sich der Freiheit verpflicht fühlt, ist weder antidemokratisch, noch gewaltbereit, noch arbeitet sich planerisch am Systemumsturz.
    Anonymous allerdings mit seiner Vorgehensweise als gesellschaftliche „Aufklärer“ zu handeln ist erschütternd und bedenklich.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.