Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Informationspanne bei Infratest: Datenschützer Schaar fordert Offenlegung von Sicherheitslecks

Von

Das Sicherheitsleck bei TNS Infratest/Emnid war gravierender als vermutet: Mit einem Trick konnten persönliche Nutzerdaten nicht nur abgefragt, sondern auch manipuliert werden. Der Bundesdatenschutzbeauftragte will Firmen nun per Gesetz verpflichten, solche Pannen selbständig aufzuklären.

Als Frau W. am Mittwoch ihre E-Mails las, bekam sie einen gehörigen Schreck. In ihrem Postfach fand sie eine Mail vom 4. Juli 2008, Betreff: "TNS Infratest - Zugang zum Online Portal wegen erkanntem Sicherheitsleck vorübergehend gesperrt". Um was für ein Sicherheitsproblem es sich handelte, erläuterte der Marktforschungsgigant nicht näher.

Frei zur Selbstbedienung: Bei TNS hatten Testkäufer nicht nur auf eigene, sondern auf Tausende Datensätze Zugriff
CORBIS

Frei zur Selbstbedienung: Bei TNS hatten Testkäufer nicht nur auf eigene, sondern auf Tausende Datensätze Zugriff

Das erfuhr Frau W. erst aus einem SPIEGEL-ONLINE-Artikel. Dort las sie, dass man ihre persönlichen Daten online einsehen konnte: Name, Adresse, Alter, Beruf, Automarke und Prepaid-Handy-Vertrag von Frau W. standen in einer Online-Datenbank von TNS Infratest/Emnid.

Mehr als 40.000 Personen besitzen einen Zugang zu dieser Datenbank - und konnten mit einem einfachen Trick die Daten aller anderen 40.000 Nutzer einsehen. Als der Fehler am vergangenen Freitagmittag bekannt wurde, hat Infratest/Emnid die Datenbank sofort offline genommen - und an alle Betroffenen, darunter Frau W., jene allgemein gehaltene Warn-Mail verschickt.

Wie groß das Sicherheitsleck wirklich war, hat SPIEGEL ONLINE inzwischen recherchiert: Nachfragen bei Personen, die in der Datenbank gelistet sind, und Gespräche mit Datenschutzexperten haben ergeben, dass potentielle Eindringlinge nicht nur die persönlichen Daten anderer Nutzer einsehen, sondern auch beliebig manipulieren konnten. Auch wie das Datendesaster genau zustande kam, konnte rekonstruiert werden.

Wie der Daten-Gau zustande kam

Jeder Nutzer in der TNS-Datenbank bekommt eine sogenannte Session-ID zugewiesen, eine fünfstellige Nummer, die auch in der Internet-Adresse auftaucht. Nur wurde diese Nummer nicht per Zufallsgenerator vergeben, sondern fortlaufend. Dadurch konnte man in der Internet-Adresse eine beliebige Nummer angeben und so auf die Profile anderer Nutzer zugreifen.

Daraus entstand ein gravierendes Problem: Sobald man die Session-ID eines anderen Nutzers eintippte, glaubte die Datenbank, man wäre diese Person. Dadurch konnte man die Datensätze anderer Nutzer beliebig verändern.

David Ehlers, Geschäftsleiter der Forschungs-GmbH Infratest im Bereich Datenbeschaffung, bestätigte SPIEGEL ONLINE diese Angaben auf Anfrage, beteuerte aber, Infratest habe die Datenbank inzwischen geprüft und festgestellt, "dass niemand dieses Sicherheitsleck ausgenutzt hat - außer dem CCC". Der Chaos Computer Club (CCC) hatte die Lücke vergangenen Freitag öffentlich gemacht.

Obwohl kein Schaden entstanden ist, bleibt die Datenpanne bei Infratest problematisch: Laut Paragraph 9 des Bundesdatenschutzgesetzes sind Unternehmen, die sensible Daten sammeln, verpflichtet, technische und organisatorische Maßnahmen zu treffen, um deren Schutz zu gewährleisten.

Datenschutzbeauftragter fordert Transparenz bei Fehlern

Auch der Bundesdatenschutzbeauftragte Peter Schaar hält das Sicherheitsleck für misslich. "Allerdings ist es kein Einzelfall", sagt er SPIEGEL ONLINE. "Wir kennen viele Fälle, bei denen die Session-ID fortlaufend vergeben wird. In der Vergangenheit hatten dieses Problem unter anderem Web-Shops und eGovernment-Portale." All diese Vorfälle zeigten, wie heikel der Umgang mit sensiblen Daten sei.

Daher sei, vor allem im Umgang mit Datenpannen, mehr Transparenz geboten: "Wenn ein Unternehmen ein Sicherheitsleck entdeckt, sollte es per Gesetz dazu verpflichtet sein, die betroffenen Personen selbständig aufzuklären", sagt Schaar. "Derzeit klären Firmen ihre Fehler nur auf, wenn Journalisten vorher darüber geschrieben haben."

Im Fall Infratest gibt es noch Unklarheiten. Nach Angaben des Marktforschers waren nur sogenannte Mystery Shopper von der Datenpanne betroffen. Das sind Testkäufer, die eingesetzt werden, um inkognito die Servicequalität von Unternehmen festzustellen. Eingesetzt werden sie zum Beispiel in Geschäften oder Restaurants.

Allerdings sagten mehrere Personen, die in der löchrigen Datenbank von Infratest gelistet sind, SPIEGEL ONLINE, dass sie niemals als Mystery Shopper tätig waren - und ihnen auch nie angeboten wurde, diesen Job zu machen. Auch Frau W. ist nach eigenen Angaben kein Mystery Shopper, und sie sagt, sie könne sich nicht daran erinnern, bei TNS Interesse bekundet zu haben, einer zu werden.

Wie MyTNS-Nutzer in die löchrige Datenbank gelangten

Mehrere Personen gaben allerdings an, im Online-Portal MySurvey (früher: MyTNS) registriert zu sein. In diesem Online-Portal füllen Nutzer Marktforschungsfragebögen aus. Das Themenspektrum reicht von Angaben zum Mediennutzungsverhalten bis zur bevorzugten Zahnbürstenmarke. Wer an diesen Umfragen teilnimmt, erhält Bonuspunkte, die gegen Geschenke und Gutscheine eingelöst werden können.

David Ehlers von Infratest erklärt, wie einfache Umfrageteilnehmer in die Mystery-Shopper-Datenbank gerutscht sind: "In manchen MySurvey-Umfragen wurden Nutzer gefragt, ob sie Interesse hätten, gelegentlich als Mystery Shopper zu arbeiten." In der Datenbank seien aber nur diejenigen geführt, die aktiv Interesse bekundeten, etwa indem sie in einer Umfrage ein Häkchen aktivierten. "Wer dies tat, erhielt eine E-Mail mit Zugangsdaten zu einem Online-Formular. Erst wer dort persönliche Angaben eingetragen hat, wurde in der Datenbank aufgenommen", sagt Ehlers.

Derzeit arbeite man daran, die Sicherheitslecks in der Datenbank zu stopfen. Bis auf weiteres könnten Nutzer ihre Daten nicht mehr selbst online einpflegen. Die Ultima Ratio wäre, dass das auch in Zukunft so bleibt. Wenn man keine sichere Online-Lösung finde, werde Infratest "Nutzerdatenbanken künftig offline nehmen und die Daten von Nutzern selbst einpflegen", sagt Ehlers.

Diesen Artikel...
Forum - Diskussion über diesen Artikel
insgesamt 7 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Stümper
Harry Haller 12.07.2008
Zitat von sysopDas Sicherheitsleck bei TNS Infratest/Emnid war gravierender als vermutet: Mit einem Trick konnten persönliche Nutzerdaten nicht nur abgefragt, sondern auch manipuliert werden. Der Bundesdatenschutzbeauftragte will Firmen nun per Gesetz verpflichten, solche Pannen selbständig aufzuklären. http://www.spiegel.de/netzwelt/web/0,1518,565412,00.html
Ich hätte nicht gedacht, daß die selbsterklärten Experten von TNS Infratest/Emnid derart stümperhaft mit einer Session-ID, die immerhin eine 1:1-Beziehung zum Benutzer darstellt, umgehen. Jede Web-Anwendung mit weniger sensiblen Daten löst dieses Sicherheitsproblem sehr viel besser. Vielleicht sollte man Betreiber von Web-Anwendungen, in welchen sensible Daten verwendet werden, zu einer Zertifizierung ihrer Anwendungen verpflichten; das schafft nebenbei bei den zertifizierenden Unternehmen Arbeit und was Arbeit schafft ist gut.
2. Anfängerfehler
Knut Oellersen, 12.07.2008
Diese Sicherheitslücke ist ein klassischer grober Anfängerfehler unter Webprogrammierern, der schon seit über 10 Jahren im Gespräch ist. Das kommt davon wenn man unqualifiziertes Personal an sensible Datenbanken ranlässt. Die Firmen wissen es zum größten Teil auch nicht besser. Zwar ist der große Boom 2000 vorbei wo viele Leute eingestellt wurden, die sozusagen richtig HTML buchstabieren konnten, aber die Fähigkeiten vom eigenen Personal werden heute oft noch grob falsch eingeschätzt. Einige Firmen und besonders Behörden sind dazu übergegangen nur noch Projekte mit Sachkundenachweis der Beteiligten zu akzeptieren, wie es in den meisten anderen Branchen auch üblich ist. Z.B. muss mind. ein Diplom-Informatiker o.ä. entscheidenden Anteil daran gehabt haben. Wo sich aber schon Schüler als sog. Experten für max. 10 Euro die Stunde verdingen, bleibt die Qualität natürlich schnell auf der Strecke. Es gibt drei große Plattformen in der Webprogrammierung: Java, Microsoft (ASP) und PHP . Zum letzteren gibt es eine köstliche Geschichte (englisch) wie die in der Öffentlichkeit (mit letzterem PHP damit umgegangen wird). Wenn es nicht eine Parodie wäre : Ich kenne tatsächlich Leute die so denken könnten: http://www.bbspot.com/News/2000/6/php_suspend.html
3. ...
tylerdurdenvolland 13.07.2008
Zitat von Knut OellersenDiese Sicherheitslücke ist ein klassischer grober Anfängerfehler unter Webprogrammierern, der schon seit über 10 Jahren im Gespräch ist. Das kommt davon wenn man unqualifiziertes Personal an sensible Datenbanken ranlässt. Die Firmen wissen es zum größten Teil auch nicht besser. Zwar ist der große Boom 2000 vorbei wo viele Leute eingestellt wurden, die sozusagen richtig HTML buchstabieren konnten, aber die Fähigkeiten vom eigenen Personal werden heute oft noch grob falsch eingeschätzt. Einige Firmen und besonders Behörden sind dazu übergegangen nur noch Projekte mit Sachkundenachweis der Beteiligten zu akzeptieren, wie es in den meisten anderen Branchen auch üblich ist. Z.B. muss mind. ein Diplom-Informatiker o.ä. entscheidenden Anteil daran gehabt haben. Wo sich aber schon Schüler als sog. Experten für max. 10 Euro die Stunde verdingen, bleibt die Qualität natürlich schnell auf der Strecke. Es gibt drei große Plattformen in der Webprogrammierung: Java, Microsoft (ASP) und PHP . Zum letzteren gibt es eine köstliche Geschichte (englisch) wie die in der Öffentlichkeit (mit letzterem PHP damit umgegangen wird). Wenn es nicht eine Parodie wäre : Ich kenne tatsächlich Leute die so denken könnten: http://www.bbspot.com/News/2000/6/php_suspend.html
Schöne Geschichte dieser Link, wundert mich nicht sonderlich, wenn die Doofen auf die Geeks treffen, dann ist sowas ja abzusehen. Es zeigt aber auch eins, dass nämlich im Computer Business, ganz wie in der wirklichen Welt auch, jede Menge kleine und grosse Gauner rumlaufen, denen es um nichts anders als um Kohle geht. Dass da die Sicherheit auf der Strecke bleibt ist also keineswegs eine Sensation, sondern das normalste vom Normalen, Sicherheit bedeutet nämlich Unkosten! siehe Microsoft! Die Verarschung besteht allerdings in etwas anderem. Diese Lecks, bzw. der Datenmissbrauch generell, sind das NORMALSTE der Welt. Was wir zu hören bekomen, das sind dann die Fälle die erstens erwischt werden (selten) UND in denen es nicht mehr zu vertuschen ging (fast nie). Wissen sie etwa wieviele Millionen(?) die Banken (bzw. natürlich letztlich deren Kunden) jedes Jahr wegen Computer Betrugs ersetzen müssen? Wollen sie es lieber gar nicht so genau wissen? Wer heute noch so dumm ist, irgendwelche ehrliche Daten preiszugeben, der verdient es nicht anders....
4. Mehrere Baustellen
Knut Oellersen, 13.07.2008
Zitat von tylerdurdenvollandSchöne Geschichte dieser Link, wundert mich nicht sonderlich, wenn die Doofen auf die Geeks treffen, dann ist sowas ja abzusehen. Es zeigt aber auch eins, dass nämlich im Computer Business, ganz wie in der wirklichen Welt auch, jede Menge kleine und grosse Gauner rumlaufen, denen es um nichts anders als um Kohle geht. Dass da die Sicherheit auf der Strecke bleibt ist also keineswegs eine Sensation, sondern das normalste vom Normalen, Sicherheit bedeutet nämlich Unkosten! siehe Microsoft! Die Verarschung besteht allerdings in etwas anderem. Diese Lecks, bzw. der Datenmissbrauch generell, sind das NORMALSTE der Welt. Was wir zu hören bekomen, das sind dann die Fälle die erstens erwischt werden (selten) UND in denen es nicht mehr zu vertuschen ging (fast nie). Wissen sie etwa wieviele Millionen(?) die Banken (bzw. natürlich letztlich deren Kunden) jedes Jahr wegen Computer Betrugs ersetzen müssen? Wollen sie es lieber gar nicht so genau wissen? Wer heute noch so dumm ist, irgendwelche ehrliche Daten preiszugeben, der verdient es nicht anders....
Die genauen Beträge des Missbrauchs bei Zahlungsystemen sind mir jetzt nicht geläufig, alleine schon weil die Beteiligten innerhalb von Dunkelziffer-Bereichen operien, aber die sind recht hoch. Aber noch nicht hoch genug, damit es sich für die Betreiber (z.B. Banken) lohnt in bessere Technik zu investieren. Die Kosten dafür werden zwar ohnehin auf die Kunden abgewälzt, aber der Startaufwand muss vorfinanziert werden... Hierfür ist die Haftungsfrage aber gelöst : Einzelne Kunden bleiben normalerweise nicht auf dem Schaden sitzen. Da entspricht Kulanz sozusagen der Versicherungsprämie. Im vorliegenden Fall verhält es sich aber etwas anders: Hier werden persönliche Daten ausgespäht, die im guten Glauben an die Seriösität und Professionalität des Instituts weitergegeben wurden. Meinungsforscher haben zwar einige statistische Methoden um Schummler rauszurechnen, aber im großen und ganzen sind vertrauliche Daten relativ korrekt. Für solche Schlampereien gibt es kaum Sanktionsmöglichkeiten im deutschen Recht, auch wenn ich davon überzeugt bin dass es dafür disziplinarische Konsequenzen im Hause geben wird. Sollte die Software von einem externen Dienstleister kommen, wird der ein kräftiges Häppchen zurückzahlen müssen. Auch ist der tatsächliche Schaden schwer festzustellen, aber wenn z.B. Daten über finanzielle Situation im Haushalt mit der richtigen Person gekoppelt in falsche Hände geraten kann es Unannehmlichkeiten geben. Man kann aber sicherlich behaupten, dass die Pressemitteilung von wegen es seien keine Manipulationen gefunden worden, nur der halben Wahrheit entspricht. Wer ein System auf diese Weise von Rookies bauen lässt, hat mit Sicherheit auch keine entsprechende Protokollinstrumente um beweisen zu können, dass wirklich keine Manipulationen oder Ausspähungen stattgefunden haben. Das widerspricht einfach jeder Praxiserfahrung und rationellen Überlegungen aus Fachsicht.
5. GAU bedeutet Unfall
Nior aon Duine, 13.07.2008
Zitat von sysopDas Sicherheitsleck bei TNS Infratest/Emnid war gravierender als vermutet: Mit einem Trick konnten persönliche Nutzerdaten nicht nur abgefragt, sondern auch manipuliert werden. Der Bundesdatenschutzbeauftragte will Firmen nun per Gesetz verpflichten, solche Pannen selbständig aufzuklären. http://www.spiegel.de/netzwelt/web/0,1518,565412,00.html
Wer sich bei Meinungsforschungsinstituten registriert, hat sein Recht auf informationelle Selbstbestimmung ohnehin aufgegeben. Wenn das Institut mit den Daten bzw. Accounts auch noch schlampig umgeht, ist das nicht mal mehr das Sahnehäubchen, sondern bestenfalls der Puderzucker auf der Kirsche auf der Sahne auf der Torte ... Das einzige Problem ist, das die Industrie aus den Antworten dieser Exhibitionisten auf die Vorlieben des geistig normaleren Rests der Bevölkerung zu schließen können meint. Warum? Da kann man auch gleich die Betreiber von Brücken verpflichten, selbstständig aufzuklären, wie einer 'runterspringen konnte.
Alle Kommentare öffnen
    Seite 1    
Diskussion geschlossen - lesen Sie die Beiträge! zum Forum...

© SPIEGEL ONLINE 2008
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH




Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: