Beiträge vom 24. Juni 2008

Meldedaten leck(t)en ins Netz

Dienstag, 24. Juni 2008, 0:59 Uhr | Autor:

“Offene Türen für Datendiebe” (report München)

“HSH-Software und E-Government-Lösungen bleiben sicher” (HSH-Berlin)

Ich fasse mal kurz zusammen:

  • Der Hersteller einer Software liefert diese mit immer den gleichen Zugangsdaten aus – nicht ungewöhnlich.
  • Ein Computerfachmann der die Software installiert, der ändert/löscht diese Zugangsdaten und legt neue Benutzer an – auch nicht ungewöhnlich.

Aber – und das glaubt man kaum!

  • Es handelt sich bei der Software nicht um irgendeine Software, es handelt sich um eGovernance-Software, im speziellen Fall um Software für Einwohnermeldeämter.
  • Der Hersteller der Software verlinkt auf seiner WebSite zu einem Demo seiner Software, zwar nur mit Demodaten darin – aber mit den oben genannten, im Auslieferungszustand immer gleichen, Zugangsdaten im Link.
  • Und da in den Behörden nur Ärmelschoner arbeiten und sich als Computerfuzzis versuchen, wurden die Standardpassworte nicht gelöscht.

Das heißt, jeder(!) der diese Zugangsdaten gefunden hat (was nicht schwer war und noch immer dank Google-Cache funktioniert) und die Seiten der Meldeämter aufsuchte, konnte sich alle Daten der Bürger runterladen. Ist das Datenschutz? Ja! Deutscher Datenschutz! Wo sich studierte Brezelköppe in den Amtsstuben, auf meine Kosten, den Arsch plattsitzen.


Also!

  1. Sensible Daten haben nichts im Internet zu suchen.
  2. Wenn mehrere Netze miteinander verbunden werden müssen, die sensible Daten austauschen, dann nur über speziell gesicherte Leitungen, z.B. VPN.
  3. eGovernance-Software darf nur von Fachleuten installiert werden, die wissen was sie tun, die auch Standardpassworte löschen können…
  4. Und nochmal, sensible Daten haben nichts im Internet zu suchen.



So wie es ausschaut wurde von Seiten der Meldeämter bereits gehandelt:
HSH-Software - 1
HSH-Software - 2


Reicht es die Standardzugangsdaten zu löschen? NEIN! Auf gar keinen Fall!

Da man mit den Zugangsdaten als Superuser angemeldet war, konnte man natürlich auch neue User anlegen, die dann mit den entsprechenden Zugriffsrechten ausgestattet wurden, um weiterhin auf alle Daten zugreifen zu können, auch wenn der Standardsuperuserzugang gelöscht wird.

Also müssen jetzt alle Ämter die betroffen sind u.U. die Software komplett deinstallieren und neu installieren oder sehr sehr sorgfältig ihre Systeme scannen und feststellen ob sich jemand von außen daran zu schaffen gemacht hat. Ich kenne natürlich nicht die Möglichkeiten die ein Superuser in der Software hat, aber er kann sicher auch Dateien in das System reinladen, also kann jemand von außen auch Trojaner in die Systeme der Meldeämter eingeschleust haben. Wenn dies geschehen sein sollte, dann könnten auch andere Behördennetze infiziert worden sein, die nur mit den betroffenen Meldeämtern Daten ausgetauscht haben… da hängt ein Rattenschwanz dran, von hier bis nach Neuseeland und zurück.


Und wer hat Schuld? Dumme Menschen!

Erstmal hätte der Auftraggeber darauf drängen müssen das die Software nicht so einfach über das öffentliche, ungeschützte Internet verfügbar gemacht werden kann. Wenn der Auftraggeber an diesen Unsicherheitsfaktor nicht denkt, dann hätte die Sofwarefirma ihren Kunden über die Gefahren des ungeschützten Datenverkehrs aufklären müssen. Bei der Schulung zu der Software hätte man gleich als erstes prüfen müssen ob das Standardpasswort geändert wurde und ob das neue Passwort auch ein echtes Passwort ist und nicht einfach nur “passwort” oder “mutti” vergeben wurde.


Dies ist wieder ein schönes Beispiel dafür wie mit sensiblen Daten umgegangen wird. Nicht nur Telekom, Bahn und wasweißich wer alles Datenmissbrauch betreibt, auch und vor allem die Behörden schludern mit unseren Daten. Wer kann denn alles auf die Vorratsdaten zugreifen? Da gibt es ganz sicher auch Daten-GAUs ohne Ende, nur bisher hat sich noch niemand getraut sie öffentlich zu machen. Hallo! Ja Du, der mit den Vorratsdaten, trau dich, nenne uns die Löcher, durch die unsere Daten abgesaugt werden können.

Thema: Internet, Sicherheit | 3 Kommentare