DatenlecksWenn der CCC auf Netzpatrouille geht

Mehr als 6,4 Millionen personenbezogene Datensätze hat der Chaos Computer Club offen im Netz entdeckt. Zu den Betroffenen gehören Großunternehmen wie BMW, Nestle und die Deutsche Telekom sowie Institutionen wie Bundeswehr und der Landtag Niedersachsen.

Sicherheitsmann mit gelber Warnweste
Bei der Streife durchs Netz mal eben 6,4 Millionen persönliche Datensätze gefunden. (Symbolbild) – Gemeinfrei-ähnlich freigegeben durch unsplash.com Flex Point Security

Ohne eine einzige technische Zugangshürde überwinden zu müssen, haben Sicherheitsforscher des Chaos Computer Clubs (CCC) mehr als 6,4 Millionen unterschiedliche persönliche Datensätze gefunden und auf diese Zugriff gehabt. Betroffen waren laut dem CCC „Kundinnen, Fluggäste, Bewerberinnen, Patientinnen, Versicherte und Nutzerinnen sozialer Netzwerke“.

Die Daten lagen auf dem „Präsentierteller“, so die Sicherheitsforscher. Bei mehr als der Hälfte der gefundenen Daten gelang der Zugang über Git-Repositories, in denen Programmcode verwaltet wird, bei einem Viertel über sogenannten Elasticsearch-Instanzen. Letztere sind Cloud-Services zum Speichern und Durchsuchen von Nutzer:innendaten.

Der CCC hatte jeweils direkt nach Entdeckung der Datenlecks die jeweiligen Firmen und Institutionen kontaktiert und auf den Missstand hingewiesen. Darunter waren unter anderem BMW, die Bundeswehr, die Deutsche Bahn, Nestle und der Landtag Niedersachsen.

Drei Viertel der Verantwortlichen hätten sich zurückgemeldet, sich bedankt und die Schwachstelle behoben, heißt es in der Pressemeldung. Zehn Prozent hätten nicht geantwortet, aber immerhin die gemeldete Schwachstelle behoben. Zwei Unternehmen haben die im Zuge der freiwilligen Netzpatrouille wiederholt gemeldeten Sicherheitslücken bisher ignoriert. Ob die Unternehmen und Institutionen sachgemäß ihre Meldung bei den Datenschutzbeauftragten gemacht haben, konnte der CCC nicht nachvollziehen.

3-D-Gebisse und Passagierdaten gefunden

„Es ist ernüchternd, wie sorglos manche Unternehmen mit ihren Daten oder schlimmer, den Daten ihrer Kundinnen umgehen“, sagt Matthias Marx, Sprecher des Chaos Computer Clubs. „Immerhin wurde in den meisten Fällen schnell und professionell reagiert. Für die anderen hoffen wir, dass unsere Meldung der letzte notwendige Weckruf war.“

Zu den gefundenen persönlichen Daten gehörten Passenger-Name-Records einer nicht mehr existenten Airline, Datensätze von Dentalfirmen samt 3-D-Modellen der Gebisse, Kunden- und Gewinnspieldaten sowie Bewerbungsunterlagen und dazugehörige Ablehnungsgründe. 

Laut dem CCC hätten die meisten der Datenlecks einfach verhindert werden können. Passwörter standen unverschlüsselt im Netz oder die Firmen stellten Zugangs-Tokens und Testsysteme mit Kundendaten online. Der CCC hat angekündigt, die Netzpatrouille demnächst zu wiederholen, um eine „Lernerfolgskontrolle“ durchzuführen.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

15 Ergänzungen

  1. Ist meine Erwartungshaltung einfach nicht zeitgemäß oder warum wird so etwas nur bei „Netzpolitikern“ veröffentlicht und nicht mittels „rundfunk“ in die breite Öffentlichkeit getragen?

    1. Lieber Rene, es gibt Meldungen und Nachrichten, welche die Öffentlichkeit mindestens beuunruhigen, wenn nicht sogar zu Misstrauen, offenen Protesten etc. führen könnten. Diese Vorgänge werden dann verschwiegen.
      Auch die ÖR-Medien haben eine gewisse Verantwortung, derartige „Vorkommnisse“ entweder gar nicht oder nur behutsam zu veröffentlichen.

      Andererseits: Was würde es bringen, wenn man ganz laut jedes Unternehmen, bei dem ein Datenschutzvorfall geschieht, wegen „Dummheit“ (offene Passwörter etc.) an den öffentlichen Pranger stellt?

      Dennoch ist es wichtig, wenn solche Dinge nicht verschwiegen werden. Auch dann nicht, wenn der Whistleblower (in diesem Falle der CCC) bedroht würde: Ich denke dabei, z.B., an E. Snowden.

      Mein Dank gilt hier dem CCC und Netzpolitik für die Offenlegung.

      1. Hallo „Green“, darf ich einmal ganz höflich nachfragen, wo Öffentlich-Rechtliche Medienanstalten „Vorgänge verschweigen“, um „die Öffentlichkeit nicht zu beunruhigen?“

        Halte ich nämlich für eine sehr steile, also unhaltbare These. ein anekdotischer Gegenbeweis ist auch schnell gefunden, hier z.b. eine 10 Wochen ARD-Sendung über das bevorstehende weitgehnde Zusammenbrechen der Biosphäre auf unserem Planeten : https://www.daserste.de/information/reportage-dokumentation/dokus/sendung/das-grosse-artensterben-102.html
        Nächte Woche folgt das ZDF mit einer Doku zum selben Thema: https://www.zdf.de/dokumentation/terra-x/artensterben-die-fakten-mit-dirk-steffens-100.html

        Also, mich beunruhigt das schon. Vielleicht protestiere ich auch mal dagegen.

        Und was passieren würde, „wenn man ganz laut jedes Unternehmen, bei dem ein Datenschutzvorfall geschieht, wegen „Dummheit“ (offene Passwörter etc.) an den öffentlichen Pranger stellt?“, wäre hoffentlich eine sehr große Protestwelle, verbunden mit einer Intervention der zuständigen politischen Organe zur Erzwingung der nötigen Datensicherheit.
        Jaja, ich weiß.. aber träumen darf ich ja wohl noch :)

        1. Hallo „Samisdata“.

          Stichwort 1: „„Vorgänge verschweigen“: Sorry – auch da halte ich mich geschlossen.

          Stichwort 2: „ein anekdotischer Gegenbeweis ist auch schnell gefunden“: Diese „Skandale“ werden ja auch nicht an eine Person bzw. an eine kleine Gruppe „festgemacht“, sondern da sind „wir alle“ eher „schuldig“.

          Stichwort 3: „Intervention der zuständigen politischen Organe zur Erzwingung der nötigen Datensicherheit.“: Ich warte seit jetzt 40 Monaten auf eine Reaktion wie von dir gewünscht.

          Stichwort 4: „aja, ich weiß.. aber träumen darf ich ja wohl noch :)“: Alles gut – Ich träume auch von einer Welt, wo ich nicht zu WhatsApp, Googlemail, facebook, Youtubevideo-Fenster usw. auf „normnalen“ Webseiten etc. „Zwangsdigitalisiert“ werde.

          Kurze Geschichte dazu – ähnlich mehrfach erlebt:

          „Wir organisieren uns und unsere Treffen in der WhatsApp-Gruppe XYZ. Wenn du dich dort nicht anmeldest, kannst du hier nicht mitarbeiten“ („= Gruppenzwang“)

          „Ich habe aber kein Smartphone. Und ich will auch nicht über WhatsApp. Geht das nicht via e-Mail und dort PGP-Verschlüsselt?“

          „Nein, geht nicht, das machen wir schon seit Jahren so. Du bist hier neu, du hast dich zu fügen. Dann bist du halt Aussenseiter…“

          Noch Fragen, „Samisdata“?

    2. Das wird deshalb nicht in den Massenmedien gebracht, weil diese ständigen Datenpannen als ein bekanntes Problem und daher nicht mehr als berichtenswert gelten.

    3. Davon habe ich heute -19.Februar 22- über diese Sache und andere im Radio gehört. Samstags bei Breitband im Deutschladfunk Kultur 13:05, nachmittags ist Samstags im Deutschlandfunk um 16:30 eine Computersendung. Heute war dort im Anschluss in „Streitkultur“ zum Thema „Sollte personalisierte Werbung verboten werden?“ Markus Beckedahl und einer vom Vorstand von der netID Foundation“ Das kann man nachhören, Sender und Sendungsname + Datum.
      Aber wer hört das normal und versteht das auch, der nicht schon immer mit IT zu tun hatte?

  2. Soll das heißen, die betreffenden Unternehmen haben Quellcode ins Github geladen, der personenbezogene Daten enthielt? Und wie muss man sich das mit den Elasticsearch-Instanzen vorstellen?

    1. Ich schätze nicht, dass es sich um Github handelt. Vermutlich eigene Gitlab-, Bitbucket-, …-Instanzen, welche Repositorys mit öffentlichem Zugriff enthielten.

  3. Ich finde es erstaunlich aber auch für mich persönlich ein wenig beruhigend, dass hauptsächlich Frau*innen betroffen sind.

    1. Aus Gründen der besseren Lesbarkeit wurde auf die gleichzeitige Verwendung weiblicher und männlicher Sprachformen verzichtet. Männer sind mitgemeint.

  4. @ Green:

    Zitat: „welche die Öffentlichkeit mindestens beuunruhigen, wenn nicht sogar zu Misstrauen, offenen Protesten etc. führen könnten. Diese Vorgänge werden dann verschwiegen.“

    Zitat: „„„Vorgänge verschweigen“: Sorry – auch da halte ich mich geschlossen.“

    Merkste was? Das habe ich immer gern: Erst Behauptungen aufstellen und wenn konkret nachgefragt wird, dann wird gekniffen. Entweder Du präsentierst konkrete belegbare Fakten, oder Du hälst Dich mit solchen Äußerungen zurück.

    Zitat: „…Wir organisieren uns und unsere Treffen in der WhatsApp-Gruppe XYZ. Wenn du dich dort nicht anmeldest, kannst du hier nicht mitarbeiten“ („= Gruppenzwang“)…

    Bei meinen Arbeitgeber würde ich solches Gebaren über den Betriebsrat sofort abstellen. Zum einen verbietet es sich im sicherheitskritischen Bereichen datenschutzrechtlich fragwürdige Messenger wie WhatsApp einzusetzen, zum anderen verbietet mein Arbeitgeber auf den von ihm ausgegebenen Endgeräten die Nutzung dieser Messenger. Für die Gruppenarbeit, sofern nicht in Präsenz, kommen ausschließlich firmeneigene Kommunikationsmittel zum Einsatz.

    1. Franz Jäger Berlin:
      1.: „Merkste was? Das habe ich immer gern: Erst Behauptungen aufstellen und wenn konkret nachgefragt wird, dann wird gekniffen.“
      Antwort: Auch ich sage bei weitem nicht alles öffentlich.
      Ich kann aber deinen Unmut verstehen.

      „Ehrlichkeit verlangt nicht, dass man alles sagt, was man denkt.
      Ehrlichkeit verlangt nur, dass man nichts sagt, was man nicht auch denkt.“

      2. „Bei meinen Arbeitgeber würde ich solches Gebaren über den Betriebsrat sofort abstellen.“
      Antwort: Ist kein Arbeitgeber im herkömmlichen Sinne. Gesellschaftlich relevante, hauptsächlich ehrenamtlich arbeitende Gruppen.
      Aber: Es gibt Wege – die sind steinig…

      Thomas de Maizière hat da mal einen Satz geprägt, der zu großer Kritik führte.
      So ganz Unrecht hatte er damals aber nicht.

      Im Grundsatz gebe ich dir jedoch durchaus recht. Auch mit Punkt 1.

  5. ein einigermaßen bekannter open source developer hat mir mal gesagt, dass es ja privatsphäre garnicht mehr gibt. er hatte sogar einen namen dafür: „post privacy“. wenn solche einstellungen zugrunde liegen, ist klar, dass mit meinen daten rumgesaut wird. interessiert ja keinen mehr in der schönen neuen welt.

    alle die rummeckern sind einfach noch nicht angekommen. so kann man das sehen.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.