Unesco macht Daten von Bewerbern öffentlich zugänglich

Recherchen von Spiegel Online zufolge sind die Daten von zehntausenden, möglicherweise hunderttausenden Bewerbern bei der Unesco öffentlich einsehbar gewesen. Wer für die Organisation arbeiten will, kann seine Daten in mehrere Onlineformulare eintragen. Je nach Auskunftsfreude des Interessenten landen so neben Name und Anschrift sowie Mailadresse auch Telefonnummern und Angaben zum bisherigen Verdienst sowie Gehaltsvorstellungen in den Datenbanken der Unesco.

Die waren aber bis vor kurzem kaum geschützt, wie ein Bewerber Ende März 2011 feststellte: Durch Veränderung der URL, über die er sein eigenes Profil aufgerufen hatte, konnte er auch die Daten anderer Bewerber einsehen. Das deutet auf eine Fehlkonfiguration einer Datenbank hin, die nach einer einmaligen Anmeldung nicht mehr die ID für die Zugriffe überprüft - ein häufiger Fehler.

Nach Darstellung von Spiegel Online versuchte der Bewerber, mehrere Stellen der Unesco über das Problem zu unterrichten, die UN-Organisation soll aber nicht reagiert haben. Nachdem eine der betroffenen Datenbanken am 28. April 2011 nach und nach nicht mehr öffentlich zugänglich war, veröffentlichte das Medium die Geschichte. Daraufhin ging auch die zweite ungesicherte Datenbank vom Netz.

Das Problem solcher öffentlich zugänglichen Personendaten liegt in der Möglichkeit gezielter Angriffe auf die Betroffenen sowie beim Identitätsdiebstahl. Je mehr ein Angreifer über eine Person weiß, umso leichter lässt sich das Opfer - in diesem Fall beispielsweise durch eine gefälschte E-Mail eines vermeintlichen Unesco-Mitarbeiters - in eine Falle locken. Da die Datensätze bisweilen recht detailliert sind, ist auch ein umfangreicher Identitätsdiebstahl möglich.

Die Unesco hat bisher zu dem Vorfall noch nicht konkret Stellung genommen, eine Sprecherin bestätigte lediglich, dass es ein Problem gegeben habe.