Datengold einmal anders: Millionen Kundendaten mit Namen, Adressen, E-Mails und Kreditkartennummern sind im Internet abrufbar. Die meisten können praktisch von jedermann verändert werden. Das ist das erschreckende Ergebnis einer Untersuchung des Center for IT Security, Privacy and Accountability (CISPA) an der Universität des Saarlandes.

Unsichere Datenbank "MongoDB“

Die Ursache für dieses Datenleck sind Konfigurationsfehler in der frei verfügbaren Datenbank MongoDB, die weltweit von vielen Online-Shops und Plattformen eingesetzt wird. Das Problem: Halten sich die Betreiber bei der Installation blind an die Leitfäden und bedenken nicht entscheidende Details, stehen die Daten schutzlos im Internet. Das CISPA hat bereits Hersteller und Datenschützer informiert.

Als "nicht kompliziert, in der Wirkung jedoch katastrophal" beschreibt Michael Backes, Professor für Informationssicherheit und Kryptografie an der Universität des Saarlandes und Direktor des CISPA, den zugrundeliegenden Fehler. "Die Datenbanken arbeiten darunter ohne jegliche Sicherheitsmechanismen. Da man sogar Schreibrechte hat und daher die Daten verändern könnte, nehmen wir an, dass die Datenbanken ohne Absicht offen sind", so Backes.

Ungesicherte Datenbank ist eine offene Eingangstür

"Eine so ungesicherte Datenbank im Internet gleicht einer öffentlichen Bibliothek ohne Bibliothekar mit weit offen stehender Eingangstür. Jeder kann dort rein", erklärt Backes. Innerhalb von wenigen Minuten fanden die Studenten diesen gefährlichen Zustand auch bei einer Vielzahl anderer Datenbanken vor. Sie durchforsteten einfach Suchmaschinen nach MongoDB-Servern und Diensten, die mit dem Internet verbunden sind. Auf diese Weise hatten die Studenten Zugriff auf  IP-Adressen, unter denen Unternehmen die Datenbanken ungeschützt betreiben.

Am meisten erschreckte die Studenten die Kundendatenbank eines französischen börsennotierten Internetdienstanbieters und Mobiltelefoniebetreibers, die Adressen und Telefonnummern von ca. acht Millionen Franzosen enthielt. Laut Aussage der Studenten befanden sich darunter auch eine halbe Million deutscher Adressen. Die Datenbank eines deutschen Online-Händlers inkl. Zahlungsinformationen hätten sie ebenfalls ungesichert vorgefunden.

Identitätsdiebstahl im Netz ist noch nach Jahren ein Problem für viele Kunden

Nach Angaben von Backes reichen die darin gespeicherten Daten aus, um Identitätsdiebstähle durchzuführen: "Selbst wenn diese bekannt werden, plagen sich die betroffenen Personen noch Jahre danach mit Problemen wie beispielsweise Verträgen, die Betrüger in ihrem Namen abgeschlossen haben." Nicht nur aus diesem Grund müssen Firmen das Thema IT-Sicherheit ernst nehmen.

Die IT-Sicherheitsexperten von CISPA begannen daher sofort den Hersteller sowie internationale Koordinationsstellen für IT-Sicherheit (CERTs) zu kontaktieren. Sie informierten auch die französische Datenschutzbehörde "Commission nationale de l'informatique et des libertés" und das Bundesamt für Sicherheit in der Informationstechnik (weitere Informationen und Dokumentation: cispa.saarland/mongodb).

Hintergrund zu CISPA an der Universität des Saarlandes

Das Center for IT Security, Privacy and Accountability (CISPA) wurde 2011 vom Bundesministerium für Bildung und Forschung als Kompetenzzentrum für Cybersicherheit gegründet. Neben der Universität des Saarlandes sind auch die beiden Max-Planck-Institute für Informatik und Softwaresysteme sowie das Deutsche Forschungszentrum für Künstliche Intelligenz (DFKI) am CISPA beteiligt. Mittlerweile ist das Zentrum mit 200 Wissenschaftlern eines der größten Forschungszentren für IT-Sicherheit in Europa.

IT-Sicherheit ernst nehmen

Dieser Fall zeigt erneut, dass das Thema IT-Sicherheit ganz oben auf der Agenda eines jeden Unternehmens stehen muss. Wie Sie ihre IT-Systeme sicher gestalten, zeigt der soeben erschienene Band "IT-Audit" von Dr. Stefan Beißel.
Anhand eines umfassenden Prüfungskatalogs erschließen Sie systematisch, worauf es bei der Vorbereitung, der Durchführung und dem Abschluss erfolgreicher IT-Audits ankommt. Das eBook steht Abonnenten von COMPLIANCEdigital kostenfrei zur Verfügung.

Noch kein Abonnent. Testen Sie COMPLIANCEdigital 4 Wochen lang gratis. Weitere Informationen finden Sie hier.

Dr. Hans-Jürgen Hillmer, BuS-Netzwerk Betriebswirtschaft und Steuern, eingestellt von ESV-Redaktion COMPLIANCEdigital | um 10:00 Uhr am 11.02.2015