Nun wurde programmbeschwerde.de abgestellt und eine Pressemitteilung verbreitet.

“Programmbeschwerde.de bis Jahresende wegen Hacker-Attacke gesperrt” (pressebox.de)

LMS bedauert Panne bei dem Portal

Wenn über einen Zeitraum von mehreren Jahren unbefugter Zugriff auf persönliche Daten möglich ist kann man kaum von eine “Panne” sprechen. Wie viele Jahre der Zugriff wirklich möglich war, evtl. schon seit dem Start im Jahre 2004, wissen nur die Logfiles des Servers.

Nach bisherigem Erkenntnisstand aufgrund einer Hackerattacke konnten bei gezielter Suche Angaben zu Beschwerdeführern, die sich über das Portal über Rundfunkprogramme beschwert hatten, für Dritte im Internet sichtbar gemacht werden.

Daraus folgt: Wer gezielt nach Informationen sucht ist ein Hacker?!
Und “sichtbar gemacht werden” hört sich ja so an als ob der “Hacker” irgendwie besondere Fähigkeiten oder Techniken benutzen mußte um die Einträge mit allen persönlichen Daten einsehen zu können!? Dies war definitiv nicht der Fall. Ein Klick auf den Link eines Ergebnisses einer Suchmaschine reichte vollkommen aus, um den Link zu allen Beschwerden mit allen persönlichen Daten zu finden – also weder Hexen- noch Hackerwerk.

Erstmals wurde die LMS durch eine Reklamation am Mittwoch vergangener Woche auf diese bis dahin noch nie aufgetretenen Probleme aufmerksam gemacht.

Von etwas nichts zu wissen bedeutet nicht das etwas nicht vorhanden ist. Die LMS hat das System offensichtlich nicht gepflegt, sonst wäre schon sehr viel früher dieses Problem bekannt geworden. Bei einer echten Pflege schaut man auch in die Serverlogs. In den Serverlogs kann man sehr schön sehen was Google & Co. so alles durchforstet und einem aufmerksamen Admin wäre sicher aufgefallen das die Bots etwas in ihren Index aufnehmen wollen was dort nicht reingehört.

Daraufhin wurden sofort sämtliche Nutzerdaten gelöscht…

Die Nutzerdaten einfach vom Server zu löschen behebt natürlich nicht wirklich das Datenleck. Viele Suchmaschinen speichern Seiten in ihrem Cache und dieser Cache kann auch jetzt noch ausgelesen werden, was auch wieder keine Hackerkenntnisse bedarf.

…und mit der für die LMS tätigen Internetagentur, die als renommierte Firma für zahlreiche große Unternehmen tätig ist, alle Anstrengungen unternommen, um die Ursache für diese Probleme zu klären und sie zu beheben.

Zum Glück, für die Internetagentur, wurde deren Name in der Pressemitteilung nicht genannt, denn das was da in den letzten Tagen abgelaufen ist ist ein Zeichen für vollkommene Inkompetenz. Anstatt erstmal komplett abzuschalten und die Fehler zu beheben, wurde mal hier und mal dort etwas rumgefrickelt, aber die Eingabeformulare waren, obwohl sie nicht mehr von der eigenen Seite verlinkt wurden, bis zur endgültigen Komplettabschaltung, aktiv und funktionstüchtig.

Nachdem innerhalb von 24 Stunden sichergestellt wurde, dass neue Daten nicht mehr einsehbar sind,…

Nein Schatz, die alten Daten waren nicht mehr einsehbar, weil ja alle alten Datensätze gelöscht wurden. Da aber die Internetagentur ihr totales Versagen dokumentieren wollte, war es bis zur Komplettabschaltung möglich neue Einträge zu schreiben. Die Eingabeformulare filterten keine Usereingaben, was dazu führte das, obwohl die Formulare nur für Texte vorgesehen waren, es kein Problem war auch Text-Animationen, Bilder und Links, in die Beschwerden einzufügen.

…stellte sich das Problem, dass bei jedem Suchvorgang nach den alten Daten im Internet über die in den Caches der Suchmaschinen und Internet-Provider gespeicherten Daten, die dort erst nach einiger Zeit gelöscht werden, diese Angaben aktualisiert und damit wieder neu zwischengespeichert wurden.

Die LMS hat daraufhin bei Suchdiensten und Providern wie Google, AOL, T-Online usw. per Eilantrag die kurzfristige Löschung dieser Daten beantragt. Zugleich hat die LMS sicherheitshalber die Seite “programmbeschwerde.de” bis vorläufig zum Jahresende gesperrt.

Bis dahin können Programmbeschwerden unter info@LMSaar.de eingereicht werden.

Die Landesmedienanstalt Saarland bittet alle Betroffenen um Entschuldigung.

Sie wird in Kooperation mit dem Landesdatenschutzbeauftragten die Fehlersuche fortführen und ein neues Design des Portals veranlassen.

Ein paar Rollen Tapete und etwas Farbe reichen da wohl kaum aus, da muß von Grund auf neu gebaut werden. Ich empfehle auch gleich eine kompetente Internetagentur zu suchen und schaut dabei nicht zu sehr auf den tollen Namen, sondern auf deren Fähigkeiten. Bei meinen Recherchen bin ich immer wieder auf große, sehr große, Agenturen gestoßen, die einfach nur Murks abliefern und ihre Kunden, von der IT-Sicherheit her, voll ins Messer laufen lassen, weil auch diese Agenturen meist dumm wie 100 Meter Feldweg sind. Die kommen oft aus der Printbranche oder dem reinen Marketing, die haben vom Design her zwar nette Ideen, aber die technische Umsetzung ist dann doch leider oft eine Nullnummer.

---

Nun bekomme ich auf pressebox.de den Hinweis:

Pressemitteilung inaktiv.
Leider hat die Pressestelle des Herausgebers dieses Firmen-Pressefach noch nicht für den uneingeschränkten Journalisten-Zugriff aktiviert.

Haben die ihre Pressemitteilung wieder zurückgezogen?

Aber hier
http://www.blogspan.net/presse/programmbeschwerdede-bis-jahresende-wegen-hacker-attacke-gesperrt/mitteilung/12505/
und hier
http://www.radioforen.de/showthread.php?p=437928
ist die Pressemitteilung noch einmal im Volltext, also sozusagen zum Beweis, das es sie wirklich gibt. ;O)

Tja, das Internet ist schnell und die Anstalten und deren Mitarbeiter noch aus dem vergangenen Jahrhundert. :O)

---

Wenn man diese Geschichte seit letzter Woche verfolgt hat und nun diese Pressemitteilung liest, so kann man sich kaum des Eindruckes erwehren, das hier vorsätzlich eine Falschmeldung verbreitet wird.


Es wahr wohl eher so,

das die Internetagentur 2004 noch am üben war,
alle fangen wir mal klein an,

dann wurde das Projekt irgendwie aus den Augen verloren,
es war vielleicht nicht mehr so wichtig,
da dort eh nur immer die gleichen Beschwerden reinkamen,

in der Medienanstalt sich niemand für das Projekt verantwortlich fühlte,
und sich erst jetzt nach dem Daten-GAU wieder daran erinnert wurde, und,

wie soll es anders sein, diese Anstaltsmenschen haben leider auch kein Händchen für Schadensbegrenzung.

Ehrlichkeit wäre angesagt gewesen, vor allem wenn etwas so offensichtlich und so öffentlich falsch läuft – Fakten zu leugnen ist einfach nur dumm.