LEG: Strafanzeige als Dankeschön für Aufdeckung einer Sicherheitslücke

Der Kölner Informatikstudent David Kurz wollte eigentlich etwas Gutes tun, indem er die Öffentlichkeit über eine Sicherheitslücke der Webseite seines Vermieters, der LEG Wohnen NRW GmbH, aufklärte. Als besonderes „Dankeschön“ zeigte die LEG den Datenschützer bei der Polizei an.

David Kurz hat eine Vorladung zur Aussage als Beschuldigter bei der zuständigen Polizeidienststelle erhalten. Dem Kölner wirft man vor, er habe gegen den Hackerparagrafen verstoßen, indem er fremde Daten ausgespäht haben soll. Der 25-jährige Whitehat hatte sich Anfang Juli auf dem Webportal seines Vermieters, der Landesentwicklungsgesellschaft (kurz LEG) eingeloggt und dort testweise die letzten Ziffern verändert. Prompt waren die Daten seiner Nachbarn sichtbar. Die LEG unterhält in Köln und Düsseldorf alleine über 130.000 Wohnungen, ganze Straßenzüge gehören z.B. in Düsseldorf Garath diesem Unternehmen. Nach eigenen Angaben kümmern sich landesweit 1.400 Mitarbeiter an 170 Standorten um insgesamt 360.000 Menschen.

Nach der Änderung der letzten Ziffer konnte er persönliche Daten wie Namen, Anschrift, Mietverhältnis, Größe der Wohnung, Kaltmiete und Nebenkosten nebst dem Guthaben oder ausstehenden Zahlungen der anderen LEG-Mieter sehen. Über eine ähnliche Sicherheitslücke haben wir erst kürzlich berichtet.


Das Mieter-Portal ist seit Februar letzten Jahres online. Dort können sich alle Mieter einloggen, um Informationen über ihr Vertragsverhältnis abzurufen. Das Portal hatte keine Schutzmaßnahmen gegen das Abgreifen der Daten ergriffen. Kurz hätte sich also, wie jeder andere Cyberkriminelle auch, ein Skript schreiben können, um automatisch auf die Daten aller 131.000 Mietwohnungen zuzugreifen. Der Aufwand wäre überschaubar gewesen. Die Daten hätten sich beispielsweise gut für Identitätsdiebstahl oder Phishing geeignet. Oder die Hacker hätten den kompletten Datensatz im Deepweb verkaufen können.

WDR berichtete über den Vorfall

David Kurz meldete die Sicherheitslücke der NRW-Datenschutzbeauftragten (LDI NRW) Helga Block. Zudem gab er die Information an mehrere Medien weiter, damit zeitnah möglichst viele Mieter von der Sicherheitslücke erfahren. Der WDR hat über den Vorfall berichtet. Auf seiner Webseite stellte er geschwärzte Auszüge aus den Konten Fremder online, um die Lücke zu beweisen. Eine Anleitung zu einer strafbaren Handlung hat er hingegen nicht veröffentlicht. Dritte konnten also nicht nachvollziehen, wie ihm der Zugriff auf die persönlichen Daten anderer Mieter gelungen war.

LEG versucht zu beschwichtigen

Die LEG versucht auf Anfrage der WZ zu beschwichtigen. Außenstehende hätten auf die sensiblen Daten nicht ohne weiteres zugreifen können. Dafür hätte man zumindest die Zugangsdaten eines Mieters benötigt, um die Vertragsnummer ändern zu können. Doch bei 131.000 Wohnungen und noch mehr Mietern, erscheint der Personenkreis schon nicht mehr so winzig klein zu sein. Die LEG wirft David Kurz vor, er hätte den Bug ihnen oder ihrem IT-Dienstleister melden müssen, statt sich an die Landesbeauftragte bzw. die Presse zu wenden. Das Unternehmen wirft ihm ferner vor, er habe sich wohl trotz des Verbots den Zugang zu fremden Daten verschafft, um die Auszüge aus der Datenbank geschwärzt auf seiner Webseite zu veröffentlichen. Die LEG Wohnen NRW GmbH sieht sich also neben den Mietern als geschädigte Partei. Den Mietern teilte man schriftlich mit, der „Täter“ habe „einen potentiellen Angriffspunkt des Portals mit krimineller Energie ausgenutzt„. Da die LDI NRW schon informiert war, wendete sich die LEG zusätzlich an die zuständige Aufsichtsbehörde. Außerdem habe man „entsprechend der gesetzlichen Möglichkeiten alle nötigen weiteren Schritte“ eingeleitet. Wer von den Mietern von Kurz kontaktiert wird, solle sich direkt beim Vermieter melden statt ihm zu antworten, heißt es im wenig freundlich formulierten Rundschreiben an alle Mieter.

Persönliche Kontaktaufnahme schwierig

Kurz kann die Aufregung nicht nachvollziehen. Er habe den Bug nie zum eigenen Vorteil ausnutzen wollen. Der WZ sagte er, sein Vermieter versuche mit diversen Maßnahmen lediglich „vom eigenen Versagen abzulenken“. Schon früher habe man den Überbringer schlechter Nachrichten bestraft, daran hat sich wohl in all den Jahren nichts geändert. Die Kontaktaufnahme bei der LEG gestaltete sich laut Kurz sehr schwierig. Telefonisch musste er bis zu 40 Minuten in einer Endlosschleife warten, bis sich ein Mitarbeiter sich seiner Sache annahm. Anfang Juli wurde die Programmierung der Seite geändert, die Vertragsnummern wurden zunächst nur kodiert. Wie Kurz feststellen musste, war aber weiterhin eine Manipulation der letzten Ziffern möglich.

Krisenmanagement der LEG mangelhaft

Kurz postete den Vorfall auf der Facebook-Seite der LEG Wohnen. Dort wurde der Kommentar einfach gelöscht, ohne ihn zu kontaktieren oder anderweitig darauf zu reagieren. Kurze Zeit später nahm der IT Dienstleister, die Aareaon Deutschland GmbH alle Mieterportale diverser Vermieter vom Netz. Als Höhepunkt des Krisenmanagements löschte die LEG den Account des Hinweisgebers und zeigte ihn an. Das Mieterportal der LEG war insgesamt 21 Tage offline. Der Fehler wurde dort und bei allen anderen Portalen des gleichen Herstellers behoben. Auf eine Kontaktaufnahme des Vermieters wartet der junge Mann bis heute. Er hätte sich ein anderes Verhalten gewünscht. Wenn schon die Zeit vorhanden wäre, die eigenen Beiträge bei Twitter zu liken, so hätte man sich auch „mal ehrlich zu dem Vorfall äußern“ können, kommentiert der Hinweisgeber das Verhalten seines Vermieters.

Juristische Folgen noch offen

Juristisch gesehen hat Kurz wohl nichts zu befürchten, weil er keine Anleitung zu einer strafbaren Handlung veröffentlicht hat. Ob der Staatsanwalt wegen einem möglichen Verstoß gegen den Hackerparagrafen aktiv wird, ist eher zu bezweifeln. Natürlich wäre es besser gewesen, die LEG per Kontaktformular bzw. E-Mail zu informieren. Doch wer das schon einmal getan hat, weiß, dass Unternehmen auf solche Anfragen nur in den seltensten Fällen reagieren. Dort anzurufen war schon die bessere Alternative, allerdings scheiterte dies längerfristig aufgrund zu wenig freier Leitungen für die Mieter.

Tarnkappe.info

 

Beitragsbild Karsten Paulick, thx! (Pixabay Lizenz)

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem bringt Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.

Vielleicht gefällt dir auch