Schufa-Daten unzureichend gesichert?

Das Internetportal gulli.com hat eine mangelhafte Absicherung der Daten bei der Schutzgemeinschaft für allgemeine Kreditsicherung, kurz Schufa, angeprangert. Selbst Anfänger könnten „alle möglichen Inhalte der Seite auslesen“, heißt es auf deren Website. Aus Sicht der Piratenpartei reiht sich der Vorfall in eine lange Reihe brisanter Sicherheitslücken. Es zeige sich erneut, dass jede Form der personenbezogenen Datensammlung ein Sicherheitsproblem darstellt, so der Bundesvorsitzende der Partei, Sebastian Nerz.

Die Schufa ist eine privatwirtschaftlich organisierte Auskunftsdatenbank, die insbesondere von Banken und betrieblichen Kreditgebern in Anspruch genommen wird. Sie verfügt über mehrere Millionen Datensätze, die über die Zahlungsfähigkeit von Firmen und Privatpersonen Auskunft geben.

„Nicht mehr als eine Fingerübung“

Jörg Schieb
Computerexperte Schieb kritisiert die mangelnde Sorgfaltspflicht der Schufa-Auskunftei.

Konkret geht es um eine Sicherheitslücke, die von anderen Webservern schon länger bekannt ist: „Die Webseite der Schufa, meineschufa.de, verfügt über dieses Sicherheitsleck“, sagte WDR-Computerexperte Jörg Schieb auf Anfrage von tagesschau.de. Dieses Sicherheitsleck erlaube Angreifern auch ohne großen Aufwand Zugriff auf Dateien, die auf dem Webserver gespeichert sind. „Ob diese Sicherheitslücke ausgenutzt wurde und ob dabei Daten entwendet wurden oder nicht, lässt sich derzeit noch nicht sagen.“

Der Zugang zu den Daten sei durch eine sogenannte „Local File Inclusion“ möglich. Eine solche Sicherheitslücke auszunutzen sei vergleichsweise einfach. „Für geübte Hacker nicht mehr als eine Fingerübung“, so Schieb. Welche Erkenntnisse man dabei gewinnt, erfahre man allerdings erst, wenn die Lücke ausgenutzt wird.

Schufa: Kerndatenbank nicht betroffen

Die Internetseite der Schufa
Die Internetseite der Schufa: Manche Daten waren bislang offenbar nicht ausreichend gesichert.

Nach Aussagen der Schufa ist die Kerndatenbank des Unternehmens von dem nun beanstandeten Datenleck nicht betroffen. „Unsere Prüfungen haben ergeben, dass auf dem beschriebenen Weg keinerlei Zugang zu personenbezogenen Daten möglich ist und zu keinem Zeitpunkt möglich war“, teilte Pressesprecher Christian Seidenabel auf Anfrage von tagesschau.de mit. Auf dem genannten Webserver seien ausschließlich Formulare und andere für Kunden gedachte Dokumente abgelegt gewesen. Dennoch solle die Sicherung für diesen Server in Kürze optimiert werden. Ein Zugriff auf die dort abgelegten Daten werde dann nicht mehr möglich sein.

Die Piratenpartei betont hingegen in ihrer Pressemitteilung: „Sollte über die Lücke auch der Zugriff auf die gespeicherten Bürgerdaten möglich sein, wäre es vermutlich der größte und bedeutendste Daten-GAU des Jahres.“ Doch auch wenn die sensiblen Daten durch das Leck nicht betroffen wären, fordert die Partei mehr Sparsamkeit bei der Anhäufung großer Datenmengen: „Ob Schufa oder andere große Datenbestände wie die deutschen Zensusdaten, die digitalen Steuerdaten oder die Arbeitnehmer-Datenbank ELENA: Nur wenn Daten erst gar nicht gespeichert werden, sind sie vor unbefugten Zugriffen sicher.“

Website: gulli.com

Die Website gulli.com ist eigenen Angaben zufolge das größte deutschsprachige „Szene“-Portal. Das Portal und seine User interessierten sich vor allem für Technologie, Soft- und Hardware sowie Medien und Internet. Betrieben wird die Plattform von der in Wien ansässigen Firma Inqnet GmbH. Die Firma entwickelt und betreut den Angaben zufolge eigene IT- und E-Commerce-Projekte.

Computer-Experte fordert Sicherheitscheck

Computer-Experte Schieb kritisiert konkrete Versäumnisse bei der Schufa: Sie verfüge über äußerst sensible Daten, zudem von sehr vielen Bundesbürgern. Die Sorgfaltspflicht sei hier um ein Mehrfaches höher als bei anderen Anbietern im Netz. „Dass es dort eine Standard-Sicherheitslücke gibt, darf einfach nicht sein und kann nur als skandalös bezeichnet werden.“

Sensible Daten müssten sicher verwahrt werden. Daher brauche es einen vorgeschriebenen, regelmäßigen Sicherheitscheck für alle Anbieter, die sensible Daten von Bundesbürgern speichern, so Schieb. „Erst recht, wenn diese Daten so sensibel sind wie im Fall der Schufa und die Daten auch noch gegen den Willen der Betroffenen erhoben werden.“

Stichwort

Die Schutzgemeinschaft für allgemeine Kreditsicherung, Schufa, sammelt bei ihren rund 4500 Vertragspartnern Daten von Verbrauchern. Vertragspartner sind unter anderem Banken, Versandhandel oder Telekommunikationsanbieter. Diesen macht die in Wiesbaden ansässige Auskunftei Angaben darüber, ob Kunden beispielsweise ein Girokonto, eine Kreditkarte oder einen Telefon-Vertrag haben, wie sie in der Vergangenheit mit Krediten umgegangen sind, oder ob schon einmal ein Kredit platzte. Laut Schufa sind Daten von 65 Millionen Bundesbürgern bei ihr gespeichert. Zu über 90 Prozent der Personen gibt es nur Positivmerkmale. Seit 1. April 2010 können Verbraucher einmal pro Jahr kostenlos Einsicht in ihre Daten verlangen. Ziel ist es auch, die bei Untersuchungen immer wieder festgestellte hohe Fehlerquote zu bekämpfen.

Original, Google Cache, archive.org

Advertisements
Dieser Beitrag wurde unter tagesschau.de abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.