Datenleck bei Uno-Organisation: Unesco entblößt Hunderttausende Bewerber im Web

Von

Namen, Anschrift, bisherige Arbeitgeber und Jahresgehälter, alles einsehbar für jeden: Die Unesco hat über Jahre Bewerbungsunterlagen von Diplomaten, Wissenschaftlern und Mitarbeitern ins Netz gestellt. Betroffene sind entsetzt - die Uno-Organisation schweigt.

Unesco-Zentrale in Paris: Die Uno-Behörde stellte Bewerbungen ins Web Zur Großansicht
AP

Unesco-Zentrale in Paris: Die Uno-Behörde stellte Bewerbungen ins Web

"Die Unesco und ich, das könnte eine Liebesgeschichte werden", schreibt eine Bewerberin in ihrem Anschreiben an die Uno-Organisation für Erziehung, Wissenschaft und Kultur. Diese Liebe dürfte sich bald blitzartig abkühlen, denn das Dokument ist wie Zehn-, womöglich Hunderttausende andere Bewerbungsunterlagen offen im Internet einsehbar, samt aller Liebeslyrik im Anschreiben. Die Unesco hat über ein Web-Formular eingegebene Bewerbungen für Praktika und reguläre Stellen online gestellt - vollständig. Zehntausende Praktikumsbewerber und vermutlich Hunderttausende Bewerber für normale Posten innerhalb der Uno-Organisation sind betroffen.

Die Datensätze enthalten neben Handy-Nummern, Anschriften, E-Mail-Adressen und Namen auch genaue Auskünfte zu bisherigen Arbeitgebern, zum Bildungsweg, zu Sprachkenntnissen, zum Teil auch Namen und Anschriften von Verwandten der Kandidaten. Aus den Bewerbungen erfährt man zum Beispiel exakt, wie viel ein leitender Mitarbeiter im diplomatischen Dienst Pakistans verdient (einen sechsstelligen Dollar-Betrag) und welche Angestellten der Weltbank zur Unesco wechseln wollen. Die Bewerber stammen aus aller Herren Länder, manche bekleiden derzeit durchaus hohe Positionen. Die Unesco ist eine Organisation mit einem Jahresbudget von etwa 330 Millionen US-Dollar und über 2000 Mitarbeitern. Sie zieht hochqualifiziertes Personal an - Spitzenmanager aus Bereichen wie Logistik und Verwaltung, Ingenieure, Forscher, Diplomaten, Bewerber mit jahrelanger Erfahrung in internationalen Organisationen. Potentiell reiche Beute für Datendiebe.

Die Bewerbungsunterlagen für Praktika sind völlig ungeschützt einsehbar - die ältesten von SPIEGEL ONLINE gesichteten stammen aus dem Jahr 2006, die jüngsten aus dem Jahr 2011. Jede Bewerbung hat eine eigene Kennziffer, die zeitlich aufsteigend vergeben wird. Der Datenbestand beginnt mit Bewerbung 2 im Jahr 2006 und endet bei Bewerbung 79998 im Jahr 2011. Durch die Veränderung einer Ziffer in der URL kann man eine Bewerbung weiter springen.

Die Bewerbungen für reguläre Unesco-Stellen sind nur einsehbar, wenn man sich als Bewerber bei der Unesco registriert - das aber ist in wenigen Sekunden erledigt, man muss nur eine E-Mail-Adresse angeben. Dann kann man, wie auch bei der Praktikantendatenbank, die Bewerbungen durch eine simple Veränderung der Kennziffer in der Adresszeile aufrufen. Die von SPIEGEL ONLINE stichprobenweise eingesehenen Bewerbungen stammen aus den Jahren 2009 bis 2011, den Kennziffern zufolge enthält die Datenbank insgesamt gut 1,1 Millionen Datensätze. Wobei mit Sicherheit nicht jeder Datensatz einer echten Bewerbung entspricht, manche der Formulare wurden offenbar leer abgespeichert.

"Keinesfalls zur Weitergabe bestimmt"

SPIEGEL ONLINE hat mehrere Bewerber zu den offen herumliegenden Daten befragt - die Bewerbungen sind echt, die Kandidaten entsetzt: "Ich habe meine personenbezogenen Daten der Unesco zur internen Datenverarbeitung zur Verfügung gestellt, diese waren keinesfalls zur Weitergabe an Dritte bestimmt."

Bemerkt hat das Datenleck vor mehr als einem Monat ein Bewerber. Er hatte schon die Zusage für ein Praktikum bekommen, da meldete sich ein Mitarbeiter der zuständigen Abteilung mit der Bitte, der Kandidat solle noch mal seine Daten im Web-Formular eingeben - man habe keinen Zugriff mehr auf die Daten. Der Bewerber allerdings kam problemlos heran - er hatte im Browser noch die URL der Druckansicht seiner Online-Bewerbung gespeichert. Und dann die Entdeckung: "Anschließend habe ich mit der ID herumgespielt und gesehen, dass ich auf alle Datensätze in der beschriebenen Form zugreifen kann."

Am 21. März beschrieb der Bewerber das Problem in E-Mails, die SPIEGEL ONLINE vorliegen, der Unesco-Pressestelle und den zuständigen Abteilungen. Die Unesco reagierte nicht. SPIEGEL ONLINE informierte die Uno-Organisation am gestrigen Mittwoch über die Sicherheitslücke. Die Unesco reagierte zwar, hat aber bis zur Veröffentlichung dieses Artikels nicht auf die Anfragen zum Hintergrund des Datenlecks geantwortet. Eine der betroffenen Datenbanken ist seit Donnerstagnachmittag nicht mehr öffentlich zugänglich, die andere ist inzwischen auch offline.

Experten kritisieren den "schlampigen Umgang" mit Daten

Aus den im Web verfügbaren Daten ließe sich binnen Minuten eine im Volltext durchsuchbare Datenbank erstellen - man müsste die Daten nur mit einem Skript automatisiert abrufen und entsprechend abspeichern.

Sicherheitsexperten erstaunt der laxe Umgang mit persönlichen Daten bei der Uno-Organisation. Sascha Pfeiffer, Sicherheitsberater beim Software-Anbieter Sophos, bewertet den Fall so: "Was die Unesco da macht, ist nicht schön. Dieser schlampige Umgang mit personenbezogenen Daten ist in Deutschland mit Sicherheit strafbar."

Pfeiffer glaubt aber nicht, dass die Unesco-Bewerber ein besonders attraktives Ziel für rein profitorientierte Datendiebe sind: "Natürlich bringen ein paar zehntausend valide E-Mail-Adressen, Namen, Anschriften und Telefonnummern etwas Geld - aber da gibt es andere Datenquellen mit erheblich mehr Datensätzen, die sich leichter zu Geld machen lassen." Wenn man eine Million E-Mail-Adressen auf dem Schwarzmarkt kauft und Rolex- und Viagra-Spam verschickt, dürfte das mehr Umsatz bei weniger Aufwand bringen als eine Auswertung der Unesco-Daten. Das Fazit des Sicherheitsexperten: "Das Missbrauchspotential sehe ich in dem Fall als nicht so dramatisch. Das ist aber keine Entschuldigung dafür, so lax mit Bewerbungen umzugehen."

Die Bewerbungen sind idealer Rohstoff für gezielte Angriffe

Allerdings könnten die Personenprofile, die man aus den bei der Unesco einsehbaren und abrufbaren Bewerbungen gewinnen kann, für andere Cyberangriffe interessant sein. Man könnte zum Beispiel herausfiltern, welche Bewerber derzeit in internationalen Organisationen oder dem diplomatischen Dienst einzelner Staaten arbeiten.

Wenn jemand die Computersysteme dieser Stellen infizieren will, sind solche Informationen ein wertvoller Ansatzpunkt. Denkbar ist zum Beispiel dieser Angriff: Man sendet dem Unesco-Bewerber, der derzeit bei der Weltbank tätig ist, eine präparierte E-Mail, die scheinbar von der Unesco kommt, sich auf die Bewerbung bezieht und zum Aufrufen einer präparierten Website auffordert. Spear-Phishing nennt man diese Methode. Diese Methode nutzen Angreifer aus China seit Jahren, um in Netzwerke westlicher Ministerien einzudringen.

Klickt die Zielperson den Link an, ist ihr Computer infiziert - und im schlimmsten Fall auch das Netzwerk ihres Arbeitgebers.

Anmerkung der Redaktion: Nach Veröffentlichung dieses Artikels hat die Unesco auch die zweite betroffene Datenbank aus dem Netz genommen. Wir haben den Text entsprechend angepasst.

Mitarbeit: Christian Stöcker

Diesen Artikel...
  • Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.
  • Auf anderen Social Networks teilen

Forum - Diskutieren Sie über diesen Artikel
insgesamt 44 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Bild-Niveau
Schah_Schlick 28.04.2011
Was soll das, mit so einer Überschrift derart plump auf Leserfang zu gehen? Da wird garnix entblößt. Ich bin enttäuscht. Danke, meinen Tag habt ihr versaut :-(
2. Und ob..
mpathy 28.04.2011
..das ist eine ernstzunehmende Panne. Solche Programmierfehler / Unachtsamkeiten / etc. kommen aber durchaus oft vor. Gerade die Variablen in URLs zu ändern ist was das jeder machen kann wenn er mal die Funktionsweise kapiert hat ohne jegliche Programmierkenntnisse. Ein richtiger Hacker kommt da evtl. sogar noch weiter - wenn sowas die die ID abändern so einfach funktioniert, kann man evtl. gar irgendwelche Befehle durch die URL auf dem Server absetzen oder auf weiter unten liegende Pfade zugreifen etc. Da lässt man halt mal einen Praktikanten machen, der frisch mit seinem Informatik-Studium kommt etc. und dann kommt sowas bei raus. Die Leute glauben immer noch, wenn man das studiert hat, dann kann man das auch. Das ist gerade in Deutschland sehr verbreitet, wenn ich mitkriege mit was für Fähigkeiten die Leute von der Uni kommen, bin ich regelmäßig erschüttert. Personalchefs sollten gerade in dem Bereich den neuen Arbeitnehmer sicherheitshalber mit einem Test oder von einem externen Berater testen lassen, ob und für was er wirklich einsetzbar ist.
3. Welche UNESCO-Kommissionen?
Stockmann 28.04.2011
Super Sache. Sowas ist tatsächlich nicht so schön, meine Bewerbung bei dem Verein war 2008. Gerne hätte ich aber noch Hintergrundinfos: Ist das für UNESCO-Deutschland, UNESCO int. oder für alle UNESCO-Kommissionen der Fall?
4. Leider hat
hdudeck 28.04.2011
SPON mal wieder keine ernsthafte research durchgefuehrt. Es sind nicht die SPAM Verteiler, die hier eine Gefahr darstellen. Es sind vielmehr die Geheimdienste dieser Welt, die brennend an dieser Art von Information interresiert sind. Spaetetens seit WikiLeaks wissen wir, das alle UN Organisationen ein Taetigkeitsfeld dieser sind. Mitarbeiter werben, wenn diese sich gerade bei einer UN Organisation beworben haben ist doch so einfach: Man muss ihnen doch nur die Unterstuetzung bei der Bewerbung versprechen, um viele von ihnen spaeter als Informationsquelle anzapfen zu koennen. Wer (wie ich) sich jemals bei der UN beworben hat weiss, das ohne Unterstuetzung von Staatlichen Organisationen so gut wie nichts geht und man keine Chance hat. Zu viele Staaten haben Interresse, Stellen mit Ihren Leuten zu belegen. Man konkuriert mit seiner Bewerbung gegen den Rest der Welt. HD NY
5. Berater - deus ex machina
schniggeldi 28.04.2011
Zitat von mpathy..das ist eine ernstzunehmende Panne. Solche Programmierfehler / Unachtsamkeiten / etc. kommen aber durchaus oft vor. Gerade die Variablen in URLs zu ändern ist was das jeder machen kann wenn er mal die Funktionsweise kapiert hat ohne jegliche Programmierkenntnisse. Ein richtiger Hacker kommt da evtl. sogar noch weiter - wenn sowas die die ID abändern so einfach funktioniert, kann man evtl. gar irgendwelche Befehle durch die URL auf dem Server absetzen oder auf weiter unten liegende Pfade zugreifen etc. Da lässt man halt mal einen Praktikanten machen, der frisch mit seinem Informatik-Studium kommt etc. und dann kommt sowas bei raus. Die Leute glauben immer noch, wenn man das studiert hat, dann kann man das auch. Das ist gerade in Deutschland sehr verbreitet, wenn ich mitkriege mit was für Fähigkeiten die Leute von der Uni kommen, bin ich regelmäßig erschüttert. Personalchefs sollten gerade in dem Bereich den neuen Arbeitnehmer sicherheitshalber mit einem Test oder von einem externen Berater testen lassen, ob und für was er wirklich einsetzbar ist.
Ja, genau... weil diese externen Berater grundsätzlich nur zu 100% genial und unfehlbar sind. Schlimmer als ein unfähiger Mitarbeiter ist immer ein unfähiger externer Berater.
Alle Kommentare öffnen
    Seite 1    
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Web
RSS
alles zum Thema Unesco
RSS

© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



  • Drucken Senden
  • Nutzungsrechte Feedback
  • Kommentieren | 44 Kommentare

Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Einfach und bequem: Direkt bei Amazon kaufen.