Offene Melderegister: Eine Einladung für Identitäsklau

Letzte Aktualisierung: 04.01.2009

Zusammenfassung

Dieses Datenleck betrifft 400000 Datensätze und wurde um den 23.06.2008 in den Medien bekannt.

Details

Report München war Kriminellen auf der Spur, die mit falschen Identitäten handeln. Dabei stießen die Redakteure auf ein riesiges Datenleck bei einigen deutschen Meldebehören. Die verwenden zum Großteil eine Software des Herstellers HSH Soft- und Hardware Vertriebs GmbH zur Verwaltung der Melderegister. Standardmäßig ist diese Software mit einem Beispiel-Account ausgestattet, welcher ausgerechnet Root-Rechte (Superuser) hat. Da in vielen Behörden offensichtlich nicht ausreichend Personal mit technischem Know-How zur Verfügung steht wurde die Software nicht korrekt eingerichtet. Der Root-Account blieb bei einigen Behörden erhalten und das Passwort wurde nicht geändert.

Das allein wäre wahrscheinlich schon ein Skandal, da dann Mitarbeiter aus fast allen deutschen Meldebehörden über das Internet Zugriff auf die betroffenen Melderegister hätten. Aber damit nicht genug: Die Firma HSH hatte die Zugangsdaten zu diesem Beispielaccount zu Demonstrationszwecken auf ihrer Internetseite veröffentlicht. Damit war es jedem möglich auf die Melderegister lesend und schreibend zuzugreifen, sowie neue Benutzeraccounts anzulegen. Das Datenleck ist also nicht damit beseitigt, dass die betroffenen Behörden jetzt das Passwort geändert haben, da sich Kriminelle möglicherweise bereits eine Hintertür (also einen anderen Account) eingebaut haben. Zudem ist die Integrität der betroffenen Melderegister nicht mehr gewährleistet.

Peter Schaar, Bundesbeauftragter für den Datenschutz (Interview Report München):

Also, ich denke mal, ganz klar ist, dass überall dort wo diese Software eingesetzt wird, eine Revision der Systeme erforderlich ist. Und man wird dann entscheiden müssen, ob es ausreicht, die Passwörter […] zu ändern, oder ob hier generell noch einmal neu angefangen werden muss mit der Installation solcher Systeme.

Zu den Meldedaten gehören laut Wikipedia :

• Familiennamen, frühere Namen, Vornamen
• Doktorgrad, Ordensnamen/Künstlernamen
• Tag und Ort der Geburt, Geschlecht
• gesetzlicher Vertreter
• Staatsangehörigkeit(en)
• Religionszugehörigkeit
• gegenwärtige und frühere Anschriften
• Familienstand, Ehegatte oder Lebenspartner, Kinder
• Ausstellungsbehörde, Datum und Gültigkeitsdauer des Personalausweises/Passes
• Übermittlungssperren (z.B. bei Gefahr für Leben, Gesundheit oder persönliche Freiheit)
• Sterbetag und -ort
• Tatsache, dass der Betroffene vom Wahlrecht ausgeschlossen ist
• steuerrechtliche Daten
• Passversagungsgründe, Entzug des Ausweises

Beteiligte Verursacher

• Deutsche Meldebehörden
• HSH

Betroffene Länder

• Deutschland

Betroffene Datenarten

• Persönliche Angaben

Referenzen / Quellen

• reportMÜNCHEN: Der sorglose Umgang mit Daten bei Einwohnermeldeämtern
• Heise: Nach der Datenpanne beginnt das Aufräumen bei den Meldebehörden

Kommentare

Es gibt noch keine Kommentare

Kommentar hinzufügen