Peinlichkeiten im Web Gehacktes für jedermann

Bei Twitter kursieren Gerüchte über einen neuen Datenskandal, es fallen Namen wie Telekom und Google. Der Skandal entpuppt sich als Web-typische Schusseligkeit: Die Daten wurden im Web gefunden, weil sie ungesichert waren. Sind Sie sicher, dass Ihr Rechner gerade keinen Besuch hat?

Von


Hackerinfo hat Grippe. Zwischen Meldungen wie "#Tatort ist diesmal aber nicht sonderlich spannend" und "Bei mir fand eben eine Hausdurchsuchung statt..." hält uns der Twitter-Nutzer, der es an einem verschnupften Sonntag locker auf 20 Mini-Meldungen bringt, natürlich auch über die eigene Befindlichkeit auf dem Laufenden: "Gleich gibts erstmal wieder einen Doppelten :-) #Wick #MediNaid und die #Grippe besser in den Griff zu bekommen :-(".

Das alles ist so Twitter-typisch belanglos wie orthografisch abenteuerlich, und doch wird es beachtet, denn bei hackerinfo ist der Name Programm: Neben Grippemeldungen in eigener Sache und durchaus treffender TV-Kritik bietet uns hackerinfo "News aus der Hacker Szene, Aktuelle Security Infos. Neuigkeiten aus dem Underground und vom aktuellen Netzgeschehen". Das ist mitunter spannender Stoff, und so hat hackerinfo immerhin 138 Follower, die sich den steten Strom seiner schriftlichen Mini-Äußerungen gönnen.

Ende vergangener Woche verbreitete hackerinfo fünf Tweets, die auf angebliche Sicherheitslücken und Datenfunde hinwiesen. Die kurzen Nachrichten wurden von einigen Followern aufgegriffen und weitergetragen, denn sie deuteten Brisantes an: Wie man Kreditkartendaten per Google findet zum Beispiel. Oder dass man auch aktuell Telekom-Daten aus dem Netz fischen könne: "Nette Projekte u. Personal Daten. Oh man.das darf nicht wahr sein". Am Sonntag war die vermeintlich brisante Nachricht auf Web-Nachrichtenseiten gelandet.

So berichtete MMNews unter der Überschrift " Daten von Google, Telekom gehackt?": "Hacker haben es offensichtlich geschafft, Google Mail Accounts zu knacken. (...) Neben Geschäftlichem kann auch der persönliche Mailverkehr von Usern eingesehen werden. (...) Auch sensible Daten der Telekom Austria sind derzeit im Netz zu bestaunen. Hier geht es insbesondere um Mitarbeiter-Daten. Ganze Personalakten inklusive Bilder von Mitarbeitern sind derzeit im Netz verfügbar. Darüber hinaus ist es den Hackern wohl gelungen, Überwachungskameras anzuzapfen. Diese zeigen Live-Bilder von diversen Arbeitsplätzen, ohne dass es der Beobachtete offenbar weiß."

Ein Dauerproblem

Mit solchen Meldungen beginnen mitunter ganz große Datenskandale, aber eben auch nicht immer. Denn es gibt Sicherheitslücken von ganz erheblicher Langlebigkeit, und es sind keine Hacker, die hier verantwortlich zeichnen. Etliche Millionen Täter verbreiten täglich Intimes, Peinliches, Brisantes, Geheimes und sogar Strafbares im weltweiten Datennetz, ohne sich dessen bewusst zu sein.

Denn was hackerinfo und MMNews hier als Datenskandal entdecken, ist Netzalltag: Die meisten der angesprochenen Daten stammen aus sogenannten freigegebenen Verzeichnissen auf privaten Rechnern und denen mittelständischer Unternehmen. Man braucht kein Hacker zu sein, um so etwas zu finden: Eine geschickt zusammengestellte Sequenz von Suchworten, mit denen man eine Suchmaschine füttert, reicht. Denn jeder mit dem Internet verbundene Rechner wird auch zum Bestandteil des Netzwerks: Das ist eine Tatsache, die von Web-Nutzern einfach nicht hinreichend verinnerlicht wird. Das Internet beruht auf dem Prinzip der Vernetzung, es bietet Zwei-Wege-Kommunikation für Bits und Bytes. Von einem Rechner, der sich Daten liefern lassen kann, kann man auch Daten beziehen, wenn der Besitzer das zulässt.

Die Sache mit den Ports

Jeder Windows-Rechner ordnet Dateien in Verzeichnisse ein, die mit abgestuften Freigaben (auch: "Berechtigungen") versehen sind. Die meisten Verzeichnisse sind einigermaßen geschützt und zunächst einmal nicht sichtbar: Allein "freigegebene" Ordner stehen in einem Netzwerk allen Nutzern mit der entsprechenden Autorisierung offen. Es gibt Programme, die grundsätzlich solche Ordner anlegen - P2P-Software wie eMule zum Beispiel, denn wie sonst sollte das Programm Dateien im Web verteilen? So lassen sich Filesharer auch dadurch erwischen, dass man einfach per Suchmaschine nach ihren freigegeben Ordnern mit Filmen und Musik sucht - die wenigsten dürften sich darüber im Klaren sein.

Probleme gibt es eben dann, wenn man die Kontrolle darüber verliert, was in freigegebenen Ordnern angeboten wird. Dann wird der eigene Rechner zur Google-lesbaren Datenbank, und der Port 80, über den sich der Webbrowser Daten aus dem Internet liefern lässt, zum Schaufenster für neugierige Sucher.

Die meisten privaten Dokumente, die im Netz kursieren, liegen auf Festplatten, auf denen auch die Daten für Web-Seiten liegen, die öffentlich gesehen werden sollen. Wer weiß, wie das geht, findet aber eben auch Dateien, die dort ungeschützt gespeichert sind, ohne Teil der veröffentlichten Web-Seite zu sein. Es ist eine enorm verbreitete Form des Daten-Schlendrians, die vom privaten Brief bis zur Steuererklärung alles mögliche zutage fördern kann. Alles, was Neugierige hier tun müssen, ist gezielt nach typischen Verzeichnisstrukturen und Dokumenttypen zu suchen - ganz einfach per Google, Altavista, Bing und Co.

Was die dann dort finden? Im aktuellen Fall folgende Dinge:

  • Augenscheinlich die vollständigen Festplatten-Inhalte eines Telekommunikationsexperten, der zeitweilig für die Telekom Austria arbeitete. Darauf: Hunderte private Fotos, Filme, abgespeicherter dienstlicher Schriftverkehr, Protokolle über Arbeiten, Auftragsschreiben, Bewerbungsunterlagen, selbst angelegte kleine Personalakten über Kollegen mit Personal- und Kontaktnummern, Kostenstellen etc. Wenige Stunden nach einem Kontaktierungsversuch durch SPIEGEL ONLINE war der Server nicht mehr erreichbar: Ein Hinweis darauf, dass da jemand die versehentliche Veröffentlichung beendet hat? Möglich, der Betroffene antwortet nicht auf Kontaktierungsversuche;
  • Umfangreiches Aktenmaterial eines amerikanischen Unternehmens, das auf Medizin-Software spezialisiert ist. Darin unter anderem Rechnungen mit Kontodetails, Protokolle von Callcenter-Gesprächen, Steuerunterlagen, Bilanzunterlagen, aber auch die Druckvorlage für ein Aktienzertifikat. Das alles vermengt mit zahlreichen Kinofilm-Kopien und einigen Verzeichnissen mit Fotos von und für "Mama" und andere hochgradig persönliche Dinge: Das Paradebeispiel eines Rechners, auf dem berufliche und private Dinge so vermengt vorliegen, dass eine Trennung kaum mehr möglich scheint;
  • Die Buchungsunterlagen (bis zum 21.2.2010!) und der Kundenschriftverkehr eines Caterers aus Uslar, dem nicht nur der aktuelle Sektpreis zu entnehmen ist (12 Euro die Flasche), sondern auch noch das letzte Detail der Absprachen mit den mit voller Anschrift sichtbaren Kunden: "Die Tischdekoration wird durch Sie bereitgestellt. Passende Kerzen und Servietten werden durch uns bereitgestellt."
  • Das vertrauliche, aber veraltete Handbuch zum internen Gebrauch für ein Nokia-Handy aus dem Jahr 2007, hinterlegt beim Filehoster Rapidshare.

Das sind zum Teil intime Einblicke in ehemals vertrauliche Unterlagen, zum Teil gar in aktuelle; zum Teil hochpeinliche Einblicke in die Art und Weise, wie auch im Geschäftsleben dienstliche und private Nutzung von Rechnern vermengt werden. Weggefundene Kinofilme in mit "Privat" gekennzeichneten öffentlichen Verzeichnissen, "Mamas Fotos" direkt neben den Personalakten - wie gesagt, das ist kein Hack, sondern IT-Alltag.

In diesem Fall führen nicht alle Links, die hackerinfo am Wochenende veröffentlichte, auf die Rechner selbst, sondern auf FTP-Server, wo jemand Kopien der Festplatten hinterlegt hat. Zumindest in einem Fall beruht der vermeintliche Hack wahrscheinlich aber auf einer Fehleinstellung eines Small Business Servers, der statt selektiver Inhalte für eine geschlossene Benutzergruppe alle seine Inhalte für jedermann sichtbar ins Web pumpt - auch das ein Beispiel für inkompetenten Umgang mit Datenmaterial und Software.

Nicht alles, was nach Sicherheitsleck aussieht, ist auch eines

Ein anderes Thema sind die Server, auf denen die eigentlich privaten Daten nun gelandet sind. Für einige gibt es Sicherheitswarnungen, weil über die Domains auch Phishingseiten betrieben werden, bei anderen handelt es sich um Business-Server, die mit den dort hinterlegten Inhalten augenscheinlich gar nichts zu tun haben: Auch, dass neugierige Datenschnüffler ihre Funde einfach auf unzureichend abgesicherten Rechnern irgendwelcher Firmen ablegen, ist nichts Neues im Web - vielleicht der einzige "Hack" in dieser Peinlichkeiten-Parade, die wohl mehr mit Fahrlässigkeit zu tun hat als mit krimineller Energie.

Es bleiben die in der MMNews-Meldung dramatisch thematisierten "angezapften" Überwachungskameras: In der Tat kann man da Mitarbeitern des auf Überwachungskameras spezialisierten Unternehmens Ateo ganztägig über die Schulter schauen. Die Web-Schnittstelle erlaubt es, das Bild zu zoomen, die Kamera zu drehen: Keinen der Mitarbeiter im Bild scheint das zu irritieren. Die Nachfrage bei der PR-Vertretung des Unternehmens Mobotix, deren Steuersoftware hier benutzt wird, sorgte zunächst für Ratlosigkeit: Hack oder nicht Hack, eine zunächst schwer zu klärende Frage.

Auch hier aber geht es keineswegs um einen perfiden Hack, der uns Angestellte bei der Arbeit überwachen lässt - sondern schlicht um Werbung. Schlüsselt man die IP-Adresse 88.164.221.221 auf, landet man bei der französischen Firma Ateo Technologie. Und die zeigt eben nicht nur die Kameras, die sie im Angebot hat, sondern in vier schicken Demo-Anwendungen auch, was man damit anfangen kann. So sind die Bilder vom überwachten Arbeitsplatz am Ende wohl die einzigen Daten, die nicht versehentlich veröffentlicht wurden.

Die Empfangsdame machte am Montag übrigens um 16.18 Uhr Feierabend, ihr Chef ging rund 30 Minuten später. Viel los war nicht.



© SPIEGEL ONLINE 2009
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.