SENDETERMIN Mi., 13.02.13 | 21:45 Uhr

Gefährliche Datenpannen

(Dies ist ein Beitrag von Sabina Wolf, "Plusminus")

Wie viel wiegen Sie? Was essen Sie? Und wie viel haben Sie auf dem Konto? Fragen, die niemanden was angehen. plusminus ist jedoch auf Datenpannen von Unternehmen gestoßen, die fatale Folgen haben könnten.

Geschockte Frau vor Computer
Manche Webseiten geben unfreiwillig persönliche Daten preis! | Bild: Mauritius

Eine riesige Menge an Daten poppt vor unseren Augen auf: Namen, Adressen, Telefonnummern, Geburtsdaten - alles schön sortiert! Er habe Schritt für Schritt sein Vorgehen dokumentieren wollen, sagt ein Informant aus der Hackerszene, als er das Beweisstück der Redaktion plusminus übergibt. Der Mann, der nicht erkannt werden will, ist ein sogenannter White Hat. So nennen sich die guten Hacker. White Hats spüren Datenlöcher auf und melden sie. Kriminelles haben sie nicht im Sinn. Unser White Hat hat uns im November vergangenen Jahres informiert und gebeten: Kümmert Euch, denn da schlummert ein Riesenskandal! Schon ein Jahr zuvor hatte er die betroffene Firma kontaktiert und ihr das Sicherheitsleck gemeldet. Doch die hat nicht reagiert.

Speisepläne und Bankverbindungen

Wir kontaktieren einen weiteren Hacker. Er wertet für uns das zugespielte Material aus. Mit einem simplen Trick, so sehe man es am Datenmaterial, könne Hinz und Kunz über eine Internetseite weiter vordringen. Pikant: In unserem Fall geht es um die Website der Firma Weightwatchers, deren Datenbank ein Leck haben soll. Der Hacker analysiert die zugespielten Bilder und bestätigt: Auf den persönlichen Seiten von Nutzern könne man alles sehen, was diese dort eingegeben hätten, etwa aktuelle Gewichtangaben samt Abnahmezielen und sogar tägliche Speisepläne. Unser Experte schildert ein konkretes Beispiel: „Die Person hat gegessen Weintrauben, Ciabatta Brötchen, Kinderriegel. Mittags gab es dann Weightwatchers-Konserve und Pizza Muffins. Abends ist noch nichts eingetragen.“

Doch das ist noch nicht alles: Auch die Bankverbindung ist zu sehen. Zwar scheint die auf den ersten Blick nicht sichtbar zu sein, doch der Hacker erklärt, was es mit den Sternchen in der betreffenden Zeile auf sich hat: „Die Kontonummer ist hier noch verschleiert. Da sehen wir nur die unvollständige Nummer. Das soll dem User suggerieren, dass die Daten nicht abgreifbar sind.“ Doch mit nur zwei weiteren Klicks könne man die vollständige Bankverbindung sehen. Auch das zeige das Dokument des White Hats.

Wir kontaktieren Kunden von Weigthwatcher, deren Daten wir einsehen konnten, um ihnen das Sicherheitsleck zu zeigen. Das Entsetzen ist groß. Vor der Kamera will sich keiner äußern, doch einige geben Zitate aus unseren Telefonaten frei: „Ich glaub das nicht! Die Firma hat doch zugesichert, dass meine Daten bei ihr sicher sind!“ „Das ist mir so peinlich!“ „Ich bin echt schockiert!“

18 Dollar für eine Kreditkartennummer

Wir fragen Professor Thorsten Holtz, IT-Sicherheitsexperte an der Universität Bochum, wie schwierig es ist, durch diese Schwachstelle an Kundendaten zu kommen? Muss man dazu über spezielle Computerkenntnisse verfügen? Seine Antwort: „Von der technischen Vorgehensweise war es relativ einfach: Man musste einfach nur an zwei verschiedenen Stellen eine Zahl ändern und hat sich so quasi eine andere Benutzer-ID zugelegt und hat dann so Zugriff auf die Daten bekommen. Es ist also sehr einfach, so etwas nachzuvollziehen. Das kann jeder machen!“

Ein Einfallstor für derartige Schwächen seien häufig sogenannte Web-Applikationen. Dort, wo der Kunde bei Banken oder Unternehmen seine Daten eingebe, kämen Hacker unter Umständen auch an die dahinterliegenden Datenbanken. Und leider fänden die Angreifer relativ einfach immer wieder neue Sicherheitslücken in solchen Web-Applikationen, so Professor Holtz.

Auf illegalen Marktplätzen im Internet werden die gestohlenen Daten dann zu Geld gemacht. Dort werden Millionen von Datensätzen aus der ganzen Welt gehandelt. Als wir uns dort einloggen, gibt es deutsche Kreditkartennummern samt Namen für 18 Dollar.

13 Monate Tür und Tor geöffnet

Sicherheitsexperte Gunnar Porada, der im Auftrag von Firmen nach Sicherheitslücken sucht, hält die Qualität von Web-Applikationen oftmals für schlecht: „Wir werden regelmäßig beauftragt und finden immer Schwachstellen, sowohl bei den ganz Großen, als auch bei den Kleineren. Manchmal etwas mehr, manchmal etwas weniger. Bei Banken tatsächlich auch Verwundbarkeiten, die es ermöglichen würden, dort großen Schaden anzurichten.“

Das Schließen von Sicherheitslücken kann lange dauern. Nachdem plusminus Weightwatchers mit der Sicherheitslücke konfrontiert hatte, schloss die Firma die Lücke und versicherte, ein Schaden für die Kunden sei nicht entstanden. Man bedauere, dass die Sicherheitslücke „nicht mit der notwendigen Sorgfalt (…) nachverfolgt wurde.“ Wohl war, denn es brauchte immerhin lange 13 Monate. Dabei zählt jeder Tag, denn Kriminellen auf Beutezug entgehen solche Lücken nur ganz selten.

Blick ins Leben der anderen

Alexander B. traute seinen Augen nicht, als er im Dezember 2012 sein Onlinekonto bei der Postbank öffnete: Er sah plötzlich Daten eines anderen Kunden. Oben auf der Seite sah er zwar sein eigenes Konto, doch unten tauchte ein zweites Konto auf. Alexander B. war schockiert und fürchtete, ein Fremder könnte auch sein Konto einsehen. Das alles sei sehr beunruhigend gewesen, „weil diese mir völlig fremden Menschen allein durch ihre Kontonummer ja sehr transparent werden. Ich sehe, wer der Arbeitgeber ist. Ich sehe, was sie verdienen. Ich sehe, wo sie einkaufen, wo sie essen gehen, wo sie Bargeld am Automaten ziehen. Also ich habe ja quasi einen lückenlosen Überblick über ihr Alltagsleben“.

Alexander B. informierte sofort die Bank und telefonierte über eine halbe Stunde mit der Hotline. Trotz detaillierter Informationen, reagierte die Bank erst nach drei Wochen und teilte auf Anfrage von plusminus mit, es habe sich nicht um ein Datenleck gehandelt, sondern, „um einen bedauerlichen Fehler eines Mitarbeiters“.

Rechtsanwalt und IT-Spezialist Wolfgang Hackenberg ärgert, dass Opfer von Datenmissbrauch kaum Schutz genießen. Zwar billige das Bundesdatenschutzgesetz ihnen Schadenersatz zu, doch in der Praxis käme es fast nie dazu. „Der Kunde, dem die Daten gestohlen wurden, muss den kompletten Sachverhalt nachweisen, der zur Schädigung geführt hat. Dass ein Betroffener in der Lage ist, für die Geltendmachung von Schadenersatzansprüchen einen Kausalzusammenhang herzustellen, wie er nach dem Gesetz gefordert ist, halte ich für ein Ding der Unmöglichkeit.”

0 Bewertungen
Kommentare
Bewerten

Kommentare

Kommentar hinzufügen

Bitte beachten: Kommentare erscheinen nicht sofort, sondern werden innerhalb von 24 Stunden durch die Redaktion freigeschaltet. Es dürfen keine externen Links, Adressen oder Telefonnummern veröffentlicht werden. Bitte vermeiden Sie aus Datenschutzgründen, Ihre E-Mail-Adresse anzugeben. Fragen zu den Inhalten der Sendung, zur Mediathek oder Wiederholungsterminen richten Sie bitte direkt über das Kontaktformular an die ARD-Zuschauerredaktion: https://hilfe.ard.de/kontakt/. Vielen Dank!

*
*

* Pflichtfeld (bitte geben Sie aus Datenschutzgründen hier nicht Ihre Mailadresse oder Ähnliches ein)

Kommentar abschicken

Ihr Kommentar konnte aus technischen Gründen leider nicht entgegengenommen werden

Kommentar erfolgreich abgegeben. Dieser wird so bald wie möglich geprüft und danach veröffentlicht. Es gelten die Nutzungsbedingungen von DasErste.de.

Sendetermin

Mi., 13.02.13 | 21:45 Uhr