Sicherheitslücke bei Einwohnermeldedaten größer als gedacht

Masterpasswort erlaubte Anlegen eines eigenen Accounts mit Administratorrechten

Die Sicherheitslücke bei Einwohnermeldedaten in der Meso-Software von HSH Soft- und Hardware war offenbar größer als gedacht. Durch das vom Hersteller versehentlich veröffentlichte Masterpasswort war nicht nur die unautorisierte Abfrage von Bürgerdaten möglich, sondern auch das Anlegen eines eigenen Accounts mit Administratorrechten.

Artikel veröffentlicht am ,

Eine Vielzahl von Städten und Kommunen hatten das Standardpasswort nicht zurückgesetzt. Wie der Sicherheitsexperte Matthias Rosche des IT-Securitydienstleisters Integralis erklärte, seien viele "Einwohnermeldeämter offen wie Scheunentore" gewesen. Angreifer konnten sich einen eigenen Account mit vollen Administratorrechten anlegen. Eine Unterscheidung zwischen berechtigten und unberechtigten Benutzern wurde somit unmöglich.

Stellenmarkt
  1. Wissenschaftlicher Mitarbeiter / Wissenschaftliche Mitarbeiterin (d/m/w) am European Campus
    THD - Technische Hochschule Deggendorf, Pfarrkirchen
  2. IT-Sicherheitsadministrator (m/w/d)
    Mainova AG, Frankfurt am Main
Detailsuche

Rosche warnt: "Informationen wie etwa vorherige Adressen der Person, Details über Kinder, Religionszugehörigkeiten, steuerrechtliche Daten, aber auch Angaben zur Erwerbstätigkeit wurden von den Einwohnermeldeämtern großzügig auf dem Silbertablett serviert".

Da diese Daten auch im Block abgefragt werden konnten, befürchtet der Fachmann, dass bereits Millionen von Datensätzen der Bürger im Internet frei zugänglich sind. Nach seiner Einschätzung sind diese Datensätze ideal dazu geeignet, professionellen Identitätsdiebstahl zu unterstützen und Identitätsdokumente zu fälschen. So ließen sich etwa Konten auf den Namen Dritter eröffnen oder Wohnungen anmieten.

Integralis beobachte immer wieder, besonders bei der öffentlichen Hand, einen teilweise sehr leichtsinnigen Umgang mit vertraulichen Daten. In vielen Fällen fehlten jegliche Sicherheitsvorgaben, Sicherheitsüberprüfungen oder Konzepte bei der Umsetzung von E-Government-Projekten.

Golem Akademie
  1. Webentwicklung mit React and Typescript: virtueller Fünf-Halbtage-Workshop
  2. Einführung in Unity: virtueller Ein-Tages-Workshop
    17. Februar 2022, Virtuell
Weitere IT-Trainings

Neben der Kontrolle, ob es Zugriffe Unberechtigter gegeben habe und ob die Integrität der Meldedaten noch gewährleistet ist, sei das eingesetzte Verfahren von den Meldebehörden generell zu überprüfen", so der Sächsische Datenschutzbeauftragte Andreas Schurig. Ermittlungen der Datenschützer dauerten noch an.

Wolfgang Neskovic, stellvertretender Vorsitzender der Linksfraktion im Bundestag, erklärte, das Datenleck sei "die schmerzhafte Folge des Privatisierungseifers, der den Bürgern immer als Segen verkauft wurde." Es sei fatal, wenn Ämter im Staatsauftrag sensible Daten sammelten, deren Verwaltung und Sicherung aber Privatfirmen überließen.

FDP-Innenexpertin Gisela Piltz sprach von "skandalöser Ignoranz". Solche Pannen zerstörten das Vertrauen der Bevölkerung in die weitere Entwicklung von E-Government-Anwendungen wie Online-Melderegisterauskünfte oder Onlineanträge. "Der Bürger wird solche Angebote aber nur in Anspruch nehmen, wenn er auch sicher ist, dass seine Daten sicher aufbewahrt und genutzt werden", sagte sie.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Roloefs 28. Jun 2008

Und wieder hat Oliver zugeschlagen!

Querschlägerrrr 27. Jun 2008

Jaja. Du heißt bestimmt Oliver und kommst aus Hessen.

aufgeregt 25. Jun 2008

Ich kann nicht nachvollziehen, warum solche Software, die hohen Sicherheitsanforderungen...

Crawley 25. Jun 2008

Ich bin ja dafür, bei jeglicher passwort-geschützter Software die Standard-Passwörter...

Tantalus 25. Jun 2008

Full Ack. Aber zumindest hab ich den Eindruck, dass sich auch diese Erkenntnis langsam...



Aktuell auf der Startseite von Golem.de
Lego Star Wars UCS AT-AT aufgebaut
"Das ist kein Mond, das ist ein Lego-Modell"

Ganz wie der Imperator es wünscht: Der Lego UCS AT-AT ist riesig und imposant - und eines der besten Star-Wars-Modelle aus Klemmbausteinen.
Ein Praxistest von Oliver Nickel

Lego Star Wars UCS AT-AT aufgebaut: Das ist kein Mond, das ist ein Lego-Modell
Artikel
  1. Kryptowährung im Fall: Bitcoin legt rasante Talfahrt hin
    Kryptowährung im Fall
    Bitcoin legt rasante Talfahrt hin

    Am Samstag setzte sich der Absturz des Bitcoin fort. Ein Bitcoin ist nur noch 34.200 US-Dollar wert. Auch andere Kryptowährungen machen Verluste.

  2. eStream: Airstream-Wohnwagen mit eigenem Elektroantrieb
    eStream
    Airstream-Wohnwagen mit eigenem Elektroantrieb

    Der Wohnwagen Airstream eStream besitzt einen eigenen Elektroantrieb nebst Akku. Das entlastet das Zugfahrzeug und eröffnet weitere Möglichkeiten.

  3. Andromeda: Dieses Microsoft-Smartphone-Betriebssystem erschien nie
    Andromeda
    Dieses Microsoft-Smartphone-Betriebssystem erschien nie

    Erstmals ist ein Blick auf Andromeda möglich - das Smartphone-Betriebssystem, das Microsoft bereits vor einigen Jahren eingestellt hat.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Corsair Vengeance RGB RT 16-GB-Kit DDR4-4000 120,95€ • Alternate (u.a. AKRacing Master Pro Deluxe 449,98€) • Seagate FireCuda 530 1 TB (PS5) 189,90€ • RTX 3070 989€ • The A500 Mini 189,90€ • Intel Core i9 3.7 459,50€ • RX 6700 12GB 869€ • MindStar (u.a. 1TB SSD 69€) [Werbung]
    •  /