Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Sicherheitsleck bei Marktforschung: 40.000 private Datensätze versehentlich abrufbar

Von

Schwerwiegende Datenpanne bei TNS Infratest/Emnid: Nach einer Recherche des Chaos Computer Clubs konnte man mit einem Trick gut 40.000 Datensätze der Marktforschungsfirma im Internet einsehen. Das Unternehmen beteuert, es seien keine Daten von Befragten abrufbar gewesen.

Es war ein riesiges Sicherheitsleck, und es klaffte bei einem der weltweit führenden Marktforschungsinstitute. Testkäufer des Instituts TNS Infratest/Emnid, sogenannte Mystery Shopper, konnten im Internet auf rund 40.000 Datensätze von anderen Mystery Shoppern zugreifen - ohne dabei besondere Schutzmechanismen aushebeln zu müssen. Dies bestätigte Firmensprecher Martin Kögel auf Anfrage von SPIEGEL ONLINE.

Frei zur Selbstbedienung: Bei TNS sollen Testkäufer nicht nur auf eigene, sondern auf Tausende Datensätze Zugriff gehabt haben
CORBIS

Frei zur Selbstbedienung: Bei TNS sollen Testkäufer nicht nur auf eigene, sondern auf Tausende Datensätze Zugriff gehabt haben

Mystery Shopper sind Testkäufer. Sie helfen Firmen wie TNS Infratest/Emnid, die Servicequalität von Unternehmen festzustellen. Sie werden zum Beispiel in Läden oder Restaurants geschickt, um dort unerkannt die Servicequalität und andere Faktoren zu prüfen.

In den ungeschützten Datensätzen fanden sich laut dem Chaos Computer Club (CCC) detaillierte Informationen. Nicht nur Namen, Geburtsdaten, E-Mail-Adressen und Telefonnummern seien dort vermerkt, bei vielen Befragten fänden sich außerdem Angaben zu deren Monatseinkommen, Ausbildung, Beruf, Kontoverbindungen, Krankenversicherungen und Mobilfunkverträgen. In einigen Datensätzen sei sogar zu sehen gewesen, welche Kreditkarten die Umfrageteilnehmer benutzen, welche Autos sie fahren, wie alt ihre Kinder sind und welche elektronischen Geräte sie im Haushalt verwenden.

Um auf die heiklen Daten zuzugreifen, brauchte man lediglich die Zugangsdaten zum Internetportal "Report Global", dessen Halter die TNS Infratest GmbH ist. Alle Teilnehmer an "Report Global" haben laut CCC ein Passwort für das Portal – und könnten dieses beliebig weitergegeben haben. So kam auch der CCC an einen einzelnen Satz Zugangsdaten. Einmal eingeloggt, müsse man nur die letzten fünf Ziffern der Internet-Adresse beliebig ändern, teilt der Verband mit. Schon könne man jeden beliebigen Datensatz ansehen und kopieren.

"Unprofessionell und grob fahrlässig"

Nach eigenen Angaben hat der CCC auf diese Weise rund 41.000 Datensätze komplett heruntergeladen, das Unternehmen spricht von rund 40.000. Inzwischen habe man selbstverständlich alle wieder gelöscht, teilte der CCC mit. "TNS Infratest hat einen Anfängerfehler bei der Entwicklung der Umfrage-Software gemacht. So etwas ist unprofessionell und grob fahrlässig", sagt Frank Rosengart, Pressesprecher des Verbands. "Da es sich um persönlichste Daten handelt, bei denen ein Missbrauch wie durch Identitätsdiebstahl oder zur Vorbereitung von Einbrüchen nicht ausgeschlossen werden kann, muss TNS Infratest dringend die Betroffenen informieren."

Dies ist laut TNS Infratest/Emnid schon geschehen. Auf Hinweis des CCC habe man die Seite nach zwei Minuten vom Netz genommen, teilt das Unternehmen mit. Die Programmierabteilung analysiere nun, welche Lücken vorhanden sind und wie es zu dem Fehler kommen konnte. Man sei dem CCC jedenfalls dankbar für den Hinweis.

"Grundsätzlich ist der Zugang zu der betroffenen Website nur mit Login und Passwort möglich", sagt Firmensprecher Kögel. Er bestätigt den Vorgang generell: "Offensichtlich hat ein Panel-Teilnehmer sein eigenes Login/Passwort an den CCC weitergegeben, die dann den Programmierfehler durch Manipulation der sogenannten SessionID (mehr auf SPIEGEL WISSEN...) innerhalb der Web-Anwendung nachvollzogen haben. Dieser Umstand ermöglichte erst den Zugriff auf alle Daten."

Der IT-Leiter der Firma, Oliver Bauchinger, sagte zwar der Nachrichtenagentur AFP, die Datensätze hätten nur von etwa 4000 registrierten Nutzern eingesehen werden können. Tatsächlich bestätigte TNS Infratest/Emnid SPIEGEL ONLINE, dass es mehr waren. Man habe 4000 regelmäßig aktive Mystery Shopper. Bei allen anderen der 40.000 Datenprofile handle es sich um potenzielle oder sehr selten eingesetzte Testkäufer - die allerdings auch Zugriff auf das System hätten. Alle Testkäufer hätten die entsprechenden Zugangsdaten zur Seite.

Keine anderen Kunden- oder Befragungsdaten betroffen

Betroffen seien keinerlei "Kunden- und Befragungsdaten", sagte Kögel, sondern nur die Daten der Mystery Shopper. Alle diese haben laut Kögel ihre Daten freiwillig zur Verfügung gestellt, um mit entsprechenden Aufträgen versorgt zu werden.

Auch andere Unternehmen setzen solche Test-Kunden ein - gehen mit den Datensätzen aber anders um. Daniela Mohr, Geschäftsführerin der Firma Mysteryshopping Germany, sagte SPIEGEL ONLINE, die Fülle an heiklen Daten auf dem Server von TNS Infratest/Emnid sei nicht ungewöhnlich: "Um für jeden Test die ideale Person auszuwählen, müssen wir unsere Mystery Shopper sehr genau kennen." Dazu würden "bisweilen auch Daten wie Einkommen und Automarke erhoben". Entsprechend hoch seien aber auch die Sicherheitsauflagen. Im Gegensatz zu TNS Infratest/Emnid habe man "keine zentrale Datenbank im Internet".

Auch CCC-Sprecher Rosengart fordert "gerade für ein Unternehmen, welches private Daten abfragt, besonders hohe Maßstäbe bei der Datensicherheit".

TNS Infratest ist Mitglied der TNS Gruppe (Taylor Nelson Sofres, London) und gehört damit zu einem der führenden Marktforschungs- und Beratungsunternehmen der Welt. Nach eigenen Angaben betreut das Unternehmen in Deutschland Access Panels in 90.000 Haushalten, in Europa in 135.000, in den USA in 600.000.

Das Datenleck beim Marktforschungsinstitut ist nur eines von mehreren, die in vergangener Zeit öffentlich wurden. Erst Ende Juni wurde bekannt, dass die Adressen, Passbilder und Religionszugehörigkeiten von etwa 500.000 Deutschen über Monate im Internet standen. Insgesamt handelte es sich um die Meldedaten von 15 deutschen Kommunen.

Diesen Artikel...
Forum - Diskussion über diesen Artikel
insgesamt 6 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. gute arbeit
Herr_Bazi 04.07.2008
Erstaunlich aber sogleich wenig überraschend, dass sich der CCC zum fast einzig ernstzunehmenden Datenschutzbeauftragten und Demokratie-Verfechter der Bundesrepublik gemausert hat. Hut ab, solche Herrschaften brauchen wir.
2. Ja und?
Pilchard, 05.07.2008
Zitat von sysopSchwerwiegende Datenpanne bei TNS Infratest/Emnid: Nach einer Recherche des Chaos Computer Clubs konnte man mit einem Trick gut 40.000 Datensätze der Marktforschungsfirma im Internet einsehen. Das Unternehmen beteuert, es seien keine Daten von Befragten abrufbar gewesen. http://www.spiegel.de/netzwelt/web/0,1518,563950,00.html
Vor Kurzem waren die Meldedaten von tausenden von Bürgern frei Im Internet erhältlich (http://www.abendblatt.de/daten/2008/06/24/897944.html) und niemand zuckte mit der Wimper. Jetzt dieser Fall und wieder wird es niemanden interessieren. Stattdessen sagen alle Datensammler, dass ja alles in Ordnung ist und unsere Daten sicher sind. Das Schlimme: Zeitgleich mit diesen Pannen sollen in Zukunft die Fingerabdrücke auf die Ausweise. Alle beteuern, dass unsere Daten sicher sind. Datenschutz wird gar nicht mehr ernst genommen und interessiert wohl auch die meisten Bürger nicht. Das nächste "Topmodel" ist mit Sicherheit interessanter.
3. ...
tylerdurdenvolland 05.07.2008
Dies ist keine Panne. Bzw. die Panne besteht darin, dass dies herauskam.... Dies ist alles normal, und es wird immer normaler werden. Das was herauskommt ist ein Bruchteil dessen, was tatsächlich passiert. Und wir wissen ja nur von den Pannen.. Wer heutzutage noch irgendwelche (zutreffenden) Daten über sich selber preisgibt, der ist wahrlich selber Schuld. Die Daten die bereits im Netz sind, die sind dort, da gibt es nichts mehr zu machen. Aber von jetzt an, lügt was das Zeug hält. Was auch immer man Euch fragt, wer es auch immer ist, lügt was das Zeug hält. Irgendwann sind dann alle Daten so unzuverlässig, dass sie für vieles nicht mehr gebraucht werden können. Das haben wir doch schon bei der Volkszählung geprobt, oder?
4. hat mit der Session-Id nichts zu tun
adrianhb 05.07.2008
Zitat aus dem Artikel: "Grundsätzlich ist der Zugang zu der betroffenen Website nur mit Login und Passwort möglich", sagt Firmensprecher Kögel. Er bestätigt den Vorgang generell: "Offensichtlich hat ein Panel-Teilnehmer sein eigenes Login/Passwort an den CCC weitergegeben, die dann den Programmierfehler durch Manipulation der sogenannten SessionID (mehr auf SPIEGEL WISSEN...) innerhalb der Web-Anwendung nachvollzogen haben. Dieser Umstand ermöglichte erst den Zugriff auf alle Daten." Manipuliert wurde die User-Id, die Session-Id wurde natürlich nicht manipuliert, sonst hätte man sich neu einloggen müssen. Auch wenn der Spiegel diesen Quatsch selber nur zitiert hat, wäre eine Korrektur und Information der Leser angebracht, statt die Session-Id auch noch auf "Spiegel Wissen" zu verlinken. Ist es nicht peinlich, wenn man sich gross mokiert über einen weißen Streifen, der an einer amerikanischen Flagge unten zuviel ist, aber selber bei Grundlagen der Websicherheit nicht durchblickt? (ich hoffe allerdings nicht, dass deshalb auch hier jemand entlassen wird, wie der Spiegel in Bezug auf den "Flaggen-Fauxpas" genüsslich berichtet ... vielleicht auch mal auf "Spiegel Wissen" nachschauen, was Fauxpas bedeutet)
5. Schwacher Artikel
vaikl 05.07.2008
Zitat von sysopSchwerwiegende Datenpanne bei TNS Infratest/Emnid: Nach einer Recherche des Chaos Computer Clubs konnte man mit einem Trick gut 40.000 Datensätze der Marktforschungsfirma im Internet einsehen. Das Unternehmen beteuert, es seien keine Daten von Befragten abrufbar gewesen. http://www.spiegel.de/netzwelt/web/0,1518,563950,00.html
Beim Mystery Shopping werden keine Personen "befragt", also erübrigt sich dieser Verdacht von vornherein. Online ausfüllbare Fragebögen zum jeweiligen Einsatz der TNS-Mitarbeiter beinhalten keinerlei personenbezogene Daten. Ich bin selbst einer dieser Mitarbeiter. Stellt sich also die Frage, was der CCC dort wirklich "entdeckt" hat und wie SPON mit diesen Fakten umgeht, ohne wieder mal eine äusserst reisserische Kampagne los zu treten. Entweder sind es "Befragten"-Daten, die dort entdeckt wurden, dann hat das aber nichts mit Mystery Shopping zu tun. Oder es handelt sich um Mitarbeiter-Daten und dann sollte der Autor dies auch bitteschön so kennzeichnen.
Alle Kommentare öffnen
    Seite 1    
Diskussion geschlossen - lesen Sie die Beiträge! zum Forum...

© SPIEGEL ONLINE 2008
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH




Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: