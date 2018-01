Über eine von der Stadt genutzten Internet-Plattform konnte man leicht an Daten anderer herankommen. Der Chaos-Computer-Club in Darmstadt hat die Lücke aufgedeckt. Er warnt vor Missbrauch.

Es kam ein wenig beiläufig daher: „Online-Bewohnerparkausweis wegen Wartungsarbeiten kurzzeitig nicht verfügbar“ hieß es am frühen Donnerstagabend in der Tagesschau des städtischen Amts für Kommunikation und Marketing. Der Hintergrund war nicht so ganz ohne: Die „Hessenschau“ hatte über Recherchen von Mitgliedern des Chaos-Computer-Clubs in Darmstadt berichtet. Sie hatten herausgefunden, dass es jedem beim Ausfüllen von digitalen Anträgen für Parkausweise möglich sei, an persönliche Daten von anderen Bürgern aus dem Einwohnermelderegister heranzukommen, so zum Beispiel Geburtsdaten und genaue Anschriften. Von diesen Sicherheitslücken in einem von mehreren Kommunen genutzten Internet-Programm waren außer Frankfurt auch Neu-Isenburg und Offenbach betroffen.

Die Kundendaten

Nach Einschätzung von Markus Drenger vom Chaos-Computer-Club-Darmstadt können mit Hilfe dieser Daten die Konten der Nutzer bei anderen Firmen gehackt werden: „Sie rufen einfach bei einer Hotline an, stellen sich als XY vor, sagen, dass sie Ihr Passwort vergessen haben, und identifizieren sich mit Adresse und Geburtsdatum. Bei den meisten Unternehmen reicht das als Sicherheitscheck. So einfach kommt man an Kundendaten.“

Der Experte bezweifelt, dass die Maßnahmen, die der IT-Dienstleister Ekom21 für eine bessere Sicherung der persönlichen Daten ergreifen will, ausreichen. Er habe gelesen, dass das Unternehmen die Abfragegeschwindigkeit und -menge reduzieren wolle. Das allein werde aber kaum ausreichen; solche Tricks ließen sich umgehen. „Da muss etwas Substanzielleres kommen“, sagt Drenger im Gespräch mit dieser Zeitung.

Der Hessische Datenschutzbeauftragte Michael Ronellenfitsch will die Angelegenheit mit der Sicherheitslücke nicht weiter verfolgen. Da die Kommunen die entsprechenden Zugänge sofort abgeschaltet hätten, sei die Gefahr für Bürger gebannt, sagte Behördensprecherin Ulrike Müller. Ohnehin sei die Gefährdung nicht so groß gewesen, weil es nur mit größerem IT-Wissen möglich gewesen sei, an die Personendaten heranzukommen.

(chb,jtü)