Sicherheitslücke bei Einwohnermeldedaten größer als gedacht

Masterpasswort erlaubte Anlegen eines eigenen Accounts mit Administratorrechten

Die Sicherheitslücke bei Einwohnermeldedaten in der Meso-Software von HSH Soft- und Hardware war offenbar größer als gedacht. Durch das vom Hersteller versehentlich veröffentlichte Masterpasswort war nicht nur die unautorisierte Abfrage von Bürgerdaten möglich, sondern auch das Anlegen eines eigenen Accounts mit Administratorrechten.

Artikel veröffentlicht am ,

Eine Vielzahl von Städten und Kommunen hatten das Standardpasswort nicht zurückgesetzt. Wie der Sicherheitsexperte Matthias Rosche des IT-Securitydienstleisters Integralis erklärte, seien viele "Einwohnermeldeämter offen wie Scheunentore" gewesen. Angreifer konnten sich einen eigenen Account mit vollen Administratorrechten anlegen. Eine Unterscheidung zwischen berechtigten und unberechtigten Benutzern wurde somit unmöglich.

Stellenmarkt
  1. Wirtschaftsinformatiker (m/w/d)
    Westfalen Medical GmbH, Siegen
  2. (Senior) Project Manager für Android- oder iOS-Applikationen (m/w/d)
    ALDI International Services SE & Co. oHG, Mülheim an der Ruhr
Detailsuche

Rosche warnt: "Informationen wie etwa vorherige Adressen der Person, Details über Kinder, Religionszugehörigkeiten, steuerrechtliche Daten, aber auch Angaben zur Erwerbstätigkeit wurden von den Einwohnermeldeämtern großzügig auf dem Silbertablett serviert".

Da diese Daten auch im Block abgefragt werden konnten, befürchtet der Fachmann, dass bereits Millionen von Datensätzen der Bürger im Internet frei zugänglich sind. Nach seiner Einschätzung sind diese Datensätze ideal dazu geeignet, professionellen Identitätsdiebstahl zu unterstützen und Identitätsdokumente zu fälschen. So ließen sich etwa Konten auf den Namen Dritter eröffnen oder Wohnungen anmieten.

Integralis beobachte immer wieder, besonders bei der öffentlichen Hand, einen teilweise sehr leichtsinnigen Umgang mit vertraulichen Daten. In vielen Fällen fehlten jegliche Sicherheitsvorgaben, Sicherheitsüberprüfungen oder Konzepte bei der Umsetzung von E-Government-Projekten.

Golem Karrierewelt
  1. Adobe Photoshop für Social-Media-Anwendungen: virtueller Zwei-Tage-Workshop
    22./23.02.2023, virtuell
  2. IT-Sicherheit für Webentwickler: virtueller Zwei-Tage-Workshop
    07./08.02.2023, Virtuell
Weitere IT-Trainings

Neben der Kontrolle, ob es Zugriffe Unberechtigter gegeben habe und ob die Integrität der Meldedaten noch gewährleistet ist, sei das eingesetzte Verfahren von den Meldebehörden generell zu überprüfen", so der Sächsische Datenschutzbeauftragte Andreas Schurig. Ermittlungen der Datenschützer dauerten noch an.

Wolfgang Neskovic, stellvertretender Vorsitzender der Linksfraktion im Bundestag, erklärte, das Datenleck sei "die schmerzhafte Folge des Privatisierungseifers, der den Bürgern immer als Segen verkauft wurde." Es sei fatal, wenn Ämter im Staatsauftrag sensible Daten sammelten, deren Verwaltung und Sicherung aber Privatfirmen überließen.

FDP-Innenexpertin Gisela Piltz sprach von "skandalöser Ignoranz". Solche Pannen zerstörten das Vertrauen der Bevölkerung in die weitere Entwicklung von E-Government-Anwendungen wie Online-Melderegisterauskünfte oder Onlineanträge. "Der Bürger wird solche Angebote aber nur in Anspruch nehmen, wenn er auch sicher ist, dass seine Daten sicher aufbewahrt und genutzt werden", sagte sie.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Roloefs 28. Jun 2008

Und wieder hat Oliver zugeschlagen!

Querschlägerrrr 27. Jun 2008

Jaja. Du heißt bestimmt Oliver und kommst aus Hessen.

aufgeregt 25. Jun 2008

Ich kann nicht nachvollziehen, warum solche Software, die hohen Sicherheitsanforderungen...

Crawley 25. Jun 2008

Ich bin ja dafür, bei jeglicher passwort-geschützter Software die Standard-Passwörter...



Aktuell auf der Startseite von Golem.de
Telekom-Internet-Booster
Hybridzugang für über 600 MBit/s inhouse kommt

Der Hybridzugang, bei dem der Router die Datenrate aus Festnetz und 5G-Mobilfunknetz aggregiert, wurde schon lange erwartet. Jetzt liefert die Telekom.

Telekom-Internet-Booster: Hybridzugang für über 600 MBit/s inhouse kommt
Artikel
  1. Luftfahrt: Boeing zeigt Konzept eines Tarnkappen-Transportflugzeugs
    Luftfahrt
    Boeing zeigt Konzept eines Tarnkappen-Transportflugzeugs

    Um weniger angreifbar zu sein, sollen militärische Transportflugzeuge künftig mit Tarnkappentechnik ausgestattet werden, wie Boeing zeigt.

  2. Quartalsbericht: IBM streicht 3.900 Stellen
    Quartalsbericht
    IBM streicht 3.900 Stellen

    Auch nach der Ausgründung sind die Techies bei Kyndryl nicht vor einem Stellenabbau sicher. IBM macht es wie die übrige Techbranche.

  3. Pinecil im Test: Ein toller Lötkolben mit RISC-V-Prozessor
    Pinecil im Test
    Ein toller Lötkolben mit RISC-V-Prozessor

    Günstig, leistungsstark und Open Source: Das macht den Lötkolben Pinecil interessant und er überzeugt im Test - auch im Vergleich mit einer JBC-Lötstation.
    Ein Test von Johannes Hiltscher

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RAM & Grakas im Preisrutsch • PS5 ab Lager bei Amazon • MindStar: MSI RTX 4090 1.899€, Sapphire RX 7900 XT 949€ • WSV: Bis -70% bei Media Markt • Gaming-Stühle Razer & HP bis -41% • 3D-Drucker 249€ • Kingston SSD 1TB 49€ • Asus RTX 4080 1.399€ • Razer bis -60% [Werbung]
    •  /