Für die bundesweite Datenpanne verantwortlich ist zum einen die in vielen deutschen Einwohnermeldebehörden eingesetzte Verwaltungssoftware der Firma HSH: Mit Hilfe eines Masterpassworts, das von März bis Juni auf der Web-Seite des auf Behördensoftware spezialisierten Anbieters innerhalb eines Links zu lesen war, sollen persönliche Bürgerdaten - unter anderem Adressen, Familienstand und Religionszugehörigkeit, aber auch steuerrechtliche Informationen und sogar Passbilder abrufbar gewesen sein. Nicht ganz unschuldig an dem Datengau waren aber auch die 15 betroffenen Kommunen, die es - anders als vorgesehen - versäumt hatten, das Standard-Passwort zu verändern. Von drei dieser Gemeinden sollen mit dem fragwürdigen Zugang bereits Informationen abgerufen worden sein. Das gesamte Ausmaß der Datenpanne ist indes noch unklar. Laut HSH ist die Sicherheitslücke mittlerweile behoben.
Nach Angaben des Security-Spezialisten Integralis, der die Sicherheitslücke in der gestrigen ARD-Sendung erklärte, hätten Angreifer über das Leck sogar eigene Accounts mit vollen Administratorrechten anlegen können, was eine Unterscheidung zwischen berechtigten und unberechtigten Benutzern unmöglich mache. Eine derartige Sicherheitslücke eröffne Kriminellen ein "Schlaraffenland", kommentiert Matthias Rosche, Director Consulting und Mitglied der Geschäftsführung bei Integralis, den Sachverhalt. Informationen wie etwa frühere Adressen der Person, Details über Kinder, Religionszugehörigkeiten, steuerrechtliche Daten, aber auch Angaben zur Erwerbstätigkeit seien von den Einwohnermeldeämtern großzügig auf dem Silbertablett serviert worden. Da sich diese Informationen auch im Block abfragen lassen, hält es der Experte für möglich, dass bereits Millionen von Datensätzen im Internet frei zugänglich sind. "Man kann hier schon eher von grober Fahrlässigkeit als von einer Sicherheitslücke sprechen", so Rosche. (kf)
