(openPR) Das ARD-Fernsehmagazin Report München deckte am 23.06.08 eine Datenpanne bei verschiedenen Einwohnermeldeämtern auf. Die Daten von Bürgern aus rund 200 Städten und Gemeinden waren frei im Internet zugänglich.
Der Zugangscode wurde von der verantwortlichen Softwarefirma auf der eigenen Homepage „veröffentlicht“. Um zur Fachanwendung zu gelangen wurde in einer URL im Klartext das Administrations-Passwort übergeben.
Mit diesen voreingestellten Zugangsdaten wurden alle E-Government-Anwendungen ausgeliefert. Viele der Meldebehörden haben dieses Standardpasswort nicht zurückgesetzt.
Im Ergebnis konnten Unbefugte und Datensammler so uneingeschränkt auf sensible Daten von Bürgern und das System der Meldeämter zugreifen. Unter Umständen sind damit Manipulationen an vorhandenen Daten oder der Einbau von Hintertüren möglich gewesen.
„Die Online-Sicherheit bei einigen deutschen Behörden lässt es zu, dass potenzielle Angreifer über einen Webbrowser auf die Webanwendung der Einwohnermeldeämter uneingeschränkte Zugriffsrechte erhalten können. Dieser sorglose Umgang mit vertraulichen Daten“ so Roman Maczkowsky Vorstandsmitglied beim Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. „ist eine Zumutung für jeden Bürger. Schwache Passwörter und der lasche Umgang mit sensiblen Daten stellen ein hohes Sicherheitsrisiko dar.“
Nicht nur das verantwortliche Unternehmen trägt einen Großteil der Schuld, die Hauptverantwortung tragen die betroffenen Kommunen, die für die Sicherheit ihres Datenbestandes letztlich verantwortlich sind. Die Angst vor einem Identitätsdiebstahl ist durch den fahrlässigen Umgang mit personenbezogenen Daten für jeden Bürger zur Realität geworden.
Dr. Amon Ott, Chefentwickler bei der m-privacy GmbH dazu: „Nach der Installation der Software den Benutzernamen und das Passwort für den mit der Software gelieferten Standard-Benutzeraccount zu ändern sollte eigentlich eine Selbstverständlichkeit sein. Leider sind die dann verwendeten Passwörter oftmals sehr schwach. Schwache Passwörter kann heute jedes Skript-Kid mit einer Brutforce-Attacke innerhalb von Minuten knacken.“
Aufgrund der aufgezeigten Sicherheitslücken empfiehlt die m-privacy bereits bei der Entwicklung von Software auf entsprechende Schwachstellen zu achten und eine Passwortänderung bei der Erstanmeldung zu erzwingen.
Die Sicherheitslücke wäre niemals aufgetreten, wenn folgende Grundsätze bei der Entwicklung berücksichtigt worden wären:
1.Verschlüsselte Kommunikation der Webanwendung
2.Starke Authentifizierungsmechanismen
3.Mindeststandards bei der Passwortgüte (technische Durchsetzung)
Weiter empfiehlt die m-privacy bei der Einführung von neuen Webanwendung diese vor Inbetriebnahme durch fachkundige Unternehmen auf Sicherheitslücken überprüfen zu lassen. Bei einer sorgfältigen Analyse wären die Schwachstellen im System sofort aufgefallen.
Für weitere Informationen stehen wir Ihnen gerne zur Verfügung.
