Millionen Kundendaten in Gefahr

Millionen Kundendaten mit Namen, Adressen, E-Mails und Kreditkartennummern im Internet könnten ganz einfach abgerufen oder verändert werden. Auch Daten von Kunden deutscher Onlineshops sind in Gefahr.

Enorme Sicherheitslecks bei tausenden Online-Datenbanken unter anderem auch aus Deutschland und Frankreich haben jetzt drei Studenten des Saarbrücker Kompetenzzentrums für IT-Sicherheit (CISPA) nachgewiesen. Ursache ist eine falsch konfigurierte, frei verfügbare Datenbank, auf der weltweit Millionen von Online-Shops und Plattformen ihre Dienste aufbauen. Halten sich die Betreiber bei der Installation blind an die Leitfäden und bedenken nicht entscheidende Details, stehen die Daten schutzlos im Internet. Das CISPA hat bereits Hersteller und Datenschützer informiert. »Der Fehler ist nicht kompliziert, seine Wirkung ist jedoch katastrophal«, sagt Michael Backes, Professor für Informationssicherheit und Kryptografie an der Universität des Saarlandes und Direktor des CISPA. Er wurde Ende Januar von den Studenten und CISPA-Mitarbeiter Kai Greshake, Eric Petryka und Jens Heyens kontaktiert.

Die entdeckte Lücke betrifft laut der aktuellsten Information von CISPA immerhin 39.890 Adressen. »Die Datenbanken arbeiten darunter ohne jegliche Sicherheitsmechanismen. Da man sogar Schreibrechte hat und daher die Daten verändern könnte, nehmen wir an, dass die Datenbanken ohne Absicht offen sind«, so Backes. Bei den Datenbanken handelt es sich um den Typ MongoDB, eine der am weitesten verbreiteten, kostenlos erhältlichen Datenbanken. Durch Befragung einer bekannten Suchmaschine nach MongoDB-Servern und Diensten, die mit dem Internet verbunden sind, fanden die Wissenschaftler IP-Adressen, unter denen Unternehmen die Datenbanken ungeschützt betreiben. »Eine so ungesicherte Datenbank im Internet gleicht einer öffentlichen Bibliothek ohne Bibliothekar mit weit offen stehender Eingangstür. Jeder kann dort rein«, erklärt Backes. Unter anderem entdeckten die Studenten auf diese Weise die Kundendatenbank eines französischen börsennotierten Internetdienstanbieters und Mobiltelefonie-Betreibers, die Adressen und Telefonnummern von rund acht Millionen Franzosen enthielt. Darunter befand sich auch eine halbe Million deutscher Adressen.

Die Datenbank eines deutschen Online-Händlers inklusive Zahlungsinformationen war ebenfalls ungesichert verfügbar.»Die darin gespeicherten Daten reichen aus, um Identitätsdiebstähle durchzuführen. Selbst wenn diese bekannt werden, plagen sich die betroffenen Personen noch Jahre danach mit Problemen wie beispielsweise Verträgen, die Betrüger in ihrem Namen abgeschlossen haben«, sagt Backes. Die Wissenschaftler hoffen nun, dass der Hersteller von MongoDB die Erkenntnisse rasch aufnimmt, sie in seine Anleitungen einarbeitet und sie so auch an die Anwender weitergibt. Weitere Informationen und eine Dokumentation stellen die Wissenschaftler unter http://cispa.saarland/mongodb/ zur Verfügung.