Meldebehörden monatelang ungeschützt

Die Datenpanne kann wohl auch als grobe Fahrlässigkeit interpretiert werden: Das Master-Passwort für die in vielen deutschen Einwohnermeldebehörden eingesetzte Verwaltungssoftware der Firma HSH: konnte von März bis Juni auf der Web-Seite des Herstellers innerhalb eines Links gelesen werden. Dadurch waren persönliche Bürgerdaten - unter anderem Adressen, Familienstand und Religionszugehörigkeit, aber auch steuerrechtliche Informationen und sogar Passbilder abrufbar. Nicht ganz unschuldig an dem Datengau waren aber auch die 15 betroffenen Kommunen, die es - anders als vorgesehen - versäumt hatten, das Standard-Passwort zu verändern. Von drei dieser Gemeinden sollen mit dem fragwürdigen Zugang bereits Informationen abgerufen worden sein. Das gesamte Ausmaß der Datenpanne ist indes noch unklar. Laut HSH ist die Sicherheitslücke mittlerweile behoben.

Nach Angaben des Security-Spezialisten Integralis, der die Sicherheitslücke in der gestrigen ARD-Sendung erklärte, hätten Angreifer über das Leck sogar eigene Accounts mit vollen Administratorrechten anlegen können, was eine Unterscheidung zwischen berechtigten und unberechtigten Benutzern unmöglich mache. Eine derartige Sicherheitslücke eröffne Kriminellen ein "Schlaraffenland", kommentiert Matthias Rosche, Director Consulting und Mitglied der Geschäftsführung bei Integralis, den Sachverhalt. Informationen wie etwa frühere Adressen der Person, Details über Kinder, Religionszugehörigkeiten, steuerrechtliche Daten, aber auch Angaben zur Erwerbstätigkeit seien von den Einwohnermeldeämtern großzügig auf dem Silbertablett serviert worden. Da sich diese Informationen auch im Block abfragen lassen, hält es der Experte für möglich, dass bereits Millionen von Datensätzen im Internet frei zugänglich sind. "Man kann hier schon eher von grober Fahrlässigkeit als von einer Sicherheitslücke sprechen", so Rosche. (kf)