• Nachrichten
• > Netzwelt
• > Web
• > Marktforschung

ThemaMarktforschung

Alle Artikel und Hintergründe

Sicherheitsleck bei Marktforschung

40.000 private Datensätze versehentlich abrufbar

Von Stefan Schultz

Schwerwiegende Datenpanne bei TNS Infratest/Emnid: Nach einer Recherche des Chaos Computer Clubs konnte man mit einem Trick gut 40.000 Datensätze der Marktforschungsfirma im Internet einsehen. Das Unternehmen beteuert, es seien keine Daten von Befragten abrufbar gewesen.

Es war ein riesiges Sicherheitsleck, und es klaffte bei einem der weltweit führenden Marktforschungsinstitute. Testkäufer des Instituts TNS Infratest/Emnid, sogenannte Mystery Shopper, konnten im Internet auf rund 40.000 Datensätze von anderen Mystery Shoppern zugreifen - ohne dabei besondere Schutzmechanismen aushebeln zu müssen. Dies bestätigte Firmensprecher Martin Kögel auf Anfrage von SPIEGEL ONLINE.

Mystery Shopper sind Testkäufer. Sie helfen Firmen wie TNS Infratest/Emnid, die Servicequalität von Unternehmen festzustellen. Sie werden zum Beispiel in Läden oder Restaurants geschickt, um dort unerkannt die Servicequalität und andere Faktoren zu prüfen.

In den ungeschützten Datensätzen fanden sich laut dem Chaos Computer Club (CCC) detaillierte Informationen. Nicht nur Namen, Geburtsdaten, E-Mail-Adressen und Telefonnummern seien dort vermerkt, bei vielen Befragten fänden sich außerdem Angaben zu deren Monatseinkommen, Ausbildung, Beruf, Kontoverbindungen, Krankenversicherungen und Mobilfunkverträgen. In einigen Datensätzen sei sogar zu sehen gewesen, welche Kreditkarten die Umfrageteilnehmer benutzen, welche Autos sie fahren, wie alt ihre Kinder sind und welche elektronischen Geräte sie im Haushalt verwenden.

Um auf die heiklen Daten zuzugreifen, brauchte man lediglich die Zugangsdaten zum Internetportal "Report Global", dessen Halter die TNS Infratest GmbH ist. Alle Teilnehmer an "Report Global" haben laut CCC ein Passwort für das Portal – und könnten dieses beliebig weitergegeben haben. So kam auch der CCC an einen einzelnen Satz Zugangsdaten. Einmal eingeloggt, müsse man nur die letzten fünf Ziffern der Internet-Adresse beliebig ändern, teilt der Verband mit. Schon könne man jeden beliebigen Datensatz ansehen und kopieren.

"Unprofessionell und grob fahrlässig"

Nach eigenen Angaben hat der CCC auf diese Weise rund 41.000 Datensätze komplett heruntergeladen, das Unternehmen spricht von rund 40.000. Inzwischen habe man selbstverständlich alle wieder gelöscht, teilte der CCC mit. "TNS Infratest hat einen Anfängerfehler bei der Entwicklung der Umfrage-Software gemacht. So etwas ist unprofessionell und grob fahrlässig", sagt Frank Rosengart, Pressesprecher des Verbands. "Da es sich um persönlichste Daten handelt, bei denen ein Missbrauch wie durch Identitätsdiebstahl oder zur Vorbereitung von Einbrüchen nicht ausgeschlossen werden kann, muss TNS Infratest dringend die Betroffenen informieren."

Dies ist laut TNS Infratest/Emnid schon geschehen. Auf Hinweis des CCC habe man die Seite nach zwei Minuten vom Netz genommen, teilt das Unternehmen mit. Die Programmierabteilung analysiere nun, welche Lücken vorhanden sind und wie es zu dem Fehler kommen konnte. Man sei dem CCC jedenfalls dankbar für den Hinweis.

"Grundsätzlich ist der Zugang zu der betroffenen Website nur mit Login und Passwort möglich", sagt Firmensprecher Kögel. Er bestätigt den Vorgang generell: "Offensichtlich hat ein Panel-Teilnehmer sein eigenes Login/Passwort an den CCC weitergegeben, die dann den Programmierfehler durch Manipulation der sogenannten SessionID (mehr auf SPIEGEL WISSEN...) innerhalb der Web-Anwendung nachvollzogen haben. Dieser Umstand ermöglichte erst den Zugriff auf alle Daten."

Der IT-Leiter der Firma, Oliver Bauchinger, sagte zwar der Nachrichtenagentur AFP, die Datensätze hätten nur von etwa 4000 registrierten Nutzern eingesehen werden können. Tatsächlich bestätigte TNS Infratest/Emnid SPIEGEL ONLINE, dass es mehr waren. Man habe 4000 regelmäßig aktive Mystery Shopper. Bei allen anderen der 40.000 Datenprofile handle es sich um potenzielle oder sehr selten eingesetzte Testkäufer - die allerdings auch Zugriff auf das System hätten. Alle Testkäufer hätten die entsprechenden Zugangsdaten zur Seite.

Keine anderen Kunden- oder Befragungsdaten betroffen

Betroffen seien keinerlei "Kunden- und Befragungsdaten", sagte Kögel, sondern nur die Daten der Mystery Shopper. Alle diese haben laut Kögel ihre Daten freiwillig zur Verfügung gestellt, um mit entsprechenden Aufträgen versorgt zu werden.

Auch andere Unternehmen setzen solche Test-Kunden ein - gehen mit den Datensätzen aber anders um. Daniela Mohr, Geschäftsführerin der Firma Mysteryshopping Germany, sagte SPIEGEL ONLINE, die Fülle an heiklen Daten auf dem Server von TNS Infratest/Emnid sei nicht ungewöhnlich: "Um für jeden Test die ideale Person auszuwählen, müssen wir unsere Mystery Shopper sehr genau kennen." Dazu würden "bisweilen auch Daten wie Einkommen und Automarke erhoben". Entsprechend hoch seien aber auch die Sicherheitsauflagen. Im Gegensatz zu TNS Infratest/Emnid habe man "keine zentrale Datenbank im Internet".

Auch CCC-Sprecher Rosengart fordert "gerade für ein Unternehmen, welches private Daten abfragt, besonders hohe Maßstäbe bei der Datensicherheit".

TNS Infratest ist Mitglied der TNS Gruppe (Taylor Nelson Sofres, London) und gehört damit zu einem der führenden Marktforschungs- und Beratungsunternehmen der Welt. Nach eigenen Angaben betreut das Unternehmen in Deutschland Access Panels in 90.000 Haushalten, in Europa in 135.000, in den USA in 600.000.

Das Datenleck beim Marktforschungsinstitut ist nur eines von mehreren, die in vergangener Zeit öffentlich wurden. Erst Ende Juni wurde bekannt, dass die Adressen, Passbilder und Religionszugehörigkeiten von etwa 500.000 Deutschen über Monate im Internet standen. Insgesamt handelte es sich um die Meldedaten von 15 deutschen Kommunen.