245060

ARD, ZDF und andere lassen Benutzerdaten offen herumstehen

05.10.2000 | 12:12 Uhr |

Nach Informationen der PC-WELT lassen sich mit wenig Aufwand die Datenbestände von ARD, ZDF und anderen großen deutschen Firmen und Organisationen ausspähen. Auch der Automobil-Hersteller Porsche und die Stadtsparkassen erlauben Einsicht in Anwenderdaten. Insgesamt sind Tausende von Datensätzen über Privatpersonen per Internet zugänglich: Name, Postanschrift, Mail-Adressen und Passwörter. PC-WELT zeigt die Missstände auf und informiert Web-Master über Abhilfe.

Neugierige brauchen keine speziellen Hackerkenntnisse, wenn die verantwortlichen Betreiber einer Webseite schludern. Informationen zufolge, die der PC-WELT vorliegen, gibt es im Internet gravierende Missstände im Sicherheitsbereich. So ließen sich die Passwörter der Anwender beim Online-Spiel "Netolympix" des ZDF ausspionieren. Auch die Passwörter der Teilnehmer am Forum zum Wiso-Börsenspiel waren einzusehen.

Viele Internet-Nutzer verwenden dasselbe Passwort mehrmals. Daher hat ein Datenspion in vielen Fällen auch Zugang zu anderen privaten Daten der Anwender, etwa dem Mail-Postfach.

Auch auf dem Server der ARD waren Daten nicht genügend geschützt: Unter anderem ließ sich eine Liste "Sydney 2000" herunterladen. Enthalten waren mehr als 1.700 Datensätze von Privatpersonen. Außerdem lässt der ARD-Webmaster die Daten von rund 2.900 Abonnenten des ARD-Newsletters offen herumstehen. Mit Hilfe dieses Datensatzes, der auch Passwörter enthält, würde man Zugriff auf etwa jedes zweite Mail-Postfach der Newsletter-Abonennten haben.

Ebenso nachlässig gehen auch die Sparkassen auf ihrer zentralen Webseite mit sicherheitsrelevanten Daten um. Hier konnten Dateien heruntergeladen werden, die Daten über 600 Administratoren der Stadtsparkassen-Seiten enthalten, darunter die Namen der Webmaster und die Login-Daten: Passwörter und Benutzernummern.

Mit Hilfe dieser Informationen wäre es möglich, Zugriff auf den Inhalt der Webseiten der einzelnen Stadt- und Kreisparkassen zu erhalten. So ließen sich beispielsweise Falschmeldungen über die offiziellen Webseiten der Geldinstitute verbreiten.

Die eklatanten Sicherheitslücken entstehen, weil Webmaster lange bekannte Sicherheits-Updates im Internet Information Server (IIS) von Microsoft nicht installieren. Bugfixes werden nicht aufgespielt.

Webmaster versäumen auch, den von Microsoft voreingestellten Zugang zum SQL-Datenbank-Server mit einem Passwort zu sichern. (PC-WELT, 05.10.2000, bif)

PC-WELT Report: Private Daten ungeschützt

PC-WELT Report: Die Passwortfalle

0 Kommentare zu diesem Artikel
245060