Gravierende Sicherheitslücke bei Behörden: Fahrlässiger Umgang mit sensiblen Daten

Viele Einwohnermeldeämter offen wie Scheunentore

(01.07.08) - Sicherheitsexperten von Integralis verweisen auf eine gravierende Sicherheitslücke im Umgang mit einer Software, die von vielen deutschen Einwohnermeldebehörden u.a. für den Zugriff auf Personendaten durch Polizei und Finanzämter eingesetzt wird. Durch diese Lücke können potentielle Angreifer Zugang zu sensiblen persönlichen Daten von Millionen Bundesbürgern erhalten.

In der gestern Abend in der ARD ausgestrahlten Sendung "Report München" erläuterte Integralis das Sicherheitsproblem.

Die bisher in vielen Behörden eingesetzte Software verwendet ein Masterpasswort, das auch auf der Web-Seite des Softwareanbieters im Klartext innerhalb eines Links zu lesen ist.

Eine Vielzahl von Städten und Kommunen haben dieses Standardpasswort nicht zurückgesetzt. Damit ist ein administrativer Zugang auf Identitätsdaten der Bundesbürger über das Internet möglich.

Ein Angreifer ist sogar in der Lage sich einen eigenen Account mit vollen Administratorrechten anzulegen. Eine Unterscheidung zwischen berechtigten und unberechtigten Benutzern wird somit unmöglich.

Einladung zum Identitätsklau

Dem Identitätsklau ist damit Tür und Tor geöffnet. Wie Dr. Matthias Rosche, Director Consulting und Mitglied der Geschäftsleitung bei Integralis, erklärt, kann sich ein potentieller Angreifer ganz einfach über einen Webbrowser und dem öffentlich zugänglichen Passwort anmelden und erhält so uneingeschränkte Zugriffsrechte auf die Webanwendung der Einwohnermeldeämter. Damit hat er Zugang zu sämtlichen Passdaten einschließlich der eindeutigen Dokumenten-Kennnummern. "Für Kriminelle ein Schlaraffenland", weiß Rosche und warnt: "Informationen wie etwa vorherige Adressen der Person, Details über Kinder, Religionszugehörigkeiten, steuerrechtliche Daten, aber auch Angaben zur Erwerbstätigkeit werden von den Einwohnermeldeämtern großzügig auf dem Silbertablett serviert".

Da diese Daten auch im Block abgefragt werden können befürchtet der Fachmann, dass bereits Millionen von Datensätzen der Bürger im Internet frei zugänglich sind. "Man kann hier schon eher von grober Fahrlässigkeit als von einer Sicherheitslücke sprechen." Nach Einschätzung des Experten sind diese Datensätze ideal dazu geeignet, professionellen Identitätsdiebstahl zu unterstützen und Identitätsdokumente zu fälschen. So lassen sich etwa Konten auf den Namen Dritter eröffnen oder Wohnungen anmieten, "eine Einladung für Kriminelle jeglicher Couleur", sagt Rosche.

Integralis beobachtet immer wieder besonders bei der öffentlichen Hand einen teilweise sehr leichtsinnigen Umgang mit vertraulichen Daten. Grund hierfür ist nach Aussage der Sicherheits-spezialisten eine ungenügende Sensibilisierung der Verantwortlichen für IT-Sicherheit. In vielen Fällen fehlen auch jegliche Sicherheitsvorgaben, Sicherheitsüberprüfungen oder Konzepte bei der Umsetzung von E-Government-Projekten. (Integralis: ra)