Privatsphäre und Datenschutz im Web 2.0

Das Blog zur Beratung von DeinWeb - Ein Web für alle!

Diesen Beitrag drucken Diesen Beitrag drucken

Jetzt hat auch die Schufa mal ein Problem

Send to Kindle

Normalerweise ist es ja die Schufa, die Menschen Sorgen macht, wenn Zweifel an ihrer Bonität bestehen. Anscheinend hat jetzt aber die Schufa selbst ein Problem. Laut einem Bericht des Online-Magazins gulli ist es derzeit aufgrund einer Sicherheitslücke möglich, beliebige Daten vom Webserver der Wirtschaftsauskunftei herunterzuladen. Man habe, so gulli, die Probleme nach einem anonymen Hinweis bestätigen können und die Schufa auf die Sicherheitslücke aufmerksam gemacht. Eine Stellungnahme der Schufa selbst liegt noch nicht vor. Besorgte Bürger können aber sicher unter meineschufa@schufa.de Auskunft von der Auskunftei bezüglich des Vorgangs bekommen.

Update vom 12. 06. 2011: Nach einer Stellungnahme der Schufa sind keine personenbezogenen Daten betroffen, sondern nur "Formulare und andere für Kunden gedachte Dokumente". Bedeutet das Entwarnung? Nicht wirklich, denn nichtsdestotrotz ist der Vorfall bedenklich. Denn um die von gulli beschriebene Sicherheitslücke auszunutzen, bedurfte es keiner tiefgreifenden technischen Kenntnisse. Zudem weist die Lücke auf grundlegende Anfängerfehler bei der Programmierung des Portals hin, die in einem Kontext, bei dem es um derart sensible Daten geht, nicht passieren dürfen. Wie Jörg Schieb richtig konstatiert, müssen die Anbeiter von Anwendungen, "die sensible Daten von Bundesbürgern speichern [...] erst recht, wenn diese Daten so sensibel sind wie im Fall der Schufa und die Daten auch noch gegen den Willen der Betroffenen erhoben werden", regelmäßige Sicherheitsprüfungen durchführen.

Flattr this!

Facebook Share Twitter Share

4 Reaktionen zu “Jetzt hat auch die Schufa mal ein Problem”

  1. Sabine Engelhardt

    Meine Anfrage an die genannte Mailadresse ist gerade rausgegangen.

    Gruß, Frosch

  2. Alex

    Ich bin gespannt.

  3. Sabine Engelhardt

    So, heute kam die Antwort der SCHUFA. Sie sieht stark nach einer Textbausteinigung aus -- kamen da wohl ein paar Anfragen mehr als üblich? 😉

    vielen Dank für Ihren Hinweis. Gern nehmen wir hierzu wie folgt Stellung:

    Ein Portal hat über eine angebliche Sicherheitslücke auf unserer Webseite http://www.meineSCHUFA.de berichtet. Unsere Prüfungen haben ergeben, dass auf dem beschriebenen Weg keinerlei Zugang zu personenbezogenen Daten möglich ist und zu keinem Zeitpunkt möglich war.

    Danach wird noch eine 01805-Nummer genannt, die man zu den üblichen Bürozeiten anrufen kann. Wäre ja zu freundlich, die Auskünfte auch noch kostenlos zu erteilen.

    Auf die neueren Erkenntnisse wie in Deinem Update genannt gingen sie nicht ein. Dabei halte ich es für brandgefährlich, wenn man aus einem System via Webserver relevante Dateien auslesen kann, zum Beispiel Konfigurationsdateien. Teilweise können sogar schon Programmversionen interessant sein, wenn es dafür bekannte Exploits gibt. Interessant ist sicher auch, welche Scripte auf dem Server so ausgeführt werden und ob darin möglicherweise versehentlich Undichtigkeiten einprogrammiert wurden.

    Selbst wenn man Konfigurationen und Scripte nicht direkt manipulieren kann, finden sich für einen Kenner mit Sicherheit noch genügend Angriffspunkte, um mindestens diesen Server plattzumachen. Unter Umständen lassen sich sogar Zugangsmöglichkeiten zu Datenbanken auf anderen Servern mit noch kritischeren Daten finden und dann ausnutzen.

    Wirklich zufrieden bin ich mit der Antwort der SCHUFA daher nicht. Allerdings habe ich jetzt erstmal eine gute Woche lang keine Zeit, mich weiter dahinterzuklemmen.

    Gruß, Frosch

  4. Alex

    Das ist nicht zufriedenstellend, und ich stimme dir weitestgehend zu. Lediglich den Zugriff auf Datenbanken auf anderen Servern halte ich für nicht möglich, wenn deren Admin nicht von allen guten Geistern verlassen ist. Richtig konfigurierte Datenbanken sind nur über localhost ansprechbar.

Einen Kommentar schreiben - Alle Angaben bis auf den Kommentar sind freiwillig. Anonyme Kommentare werden immer moderiert

Copyright © 2020 by: DeinWeb - Ein Web für alle! • Template by: BlogPimp Lizenz: Creative Commons BY-NC-SA.
Twitter-Button: IconTexto, http://icontexto.blogspot.com/