Die Experten vom Chaos Computer Club (CCC) haben in den vergangenen Wochen über 50 Datenlecks aufgespürt, die auf leicht vermeidbaren Fehlern beruhen. Dabei sind sie auf mehr als 6,4 Millionen persönliche Datensätze gestoßen. Die betroffenen Staatseinrichtungen und Unternehmen haben nicht alle auf die Hinweise reagiert. Die schützenswerten Daten haben die Sicherheitsforscher des CCC dabei in offen zugänglichen Git-Repositories, ungesicherten ElasticSearch-Instanzen, via PHP-Entwicklungswerkzeug Symfony Profiler und in ungesicherten Datenbanken aufgespürt. Dabei fanden sie auch private Schlüssel und Access Tokens, mittels derer Angreifer meist weiterreichenden Zugriff erlangen könnten. Die Daten gelangten durch eigentlich bekannte Fehler oder Verhaltensweisen in die Öffentlichkeit. So hätten einige Entwickler nicht nur Zugangsdaten, sondern ganze Tabellen und Backups personenbezogener Daten in Git-Repositories hochgeladen – die Hälfte der Datensätze fanden sich hier. Ein weiteres Viertel war via ungesicherter „Cloud-Suche“ mit Elasticsearch sogar komfortabel durchsuchbar. Abhilfe ist der CCC-Meldung zufolge einfach: So gebe es Werkzeuge, um Git-Repositories transparent zu verschlüsseln. Da Access Tokens für Cloud-Dienste Zugriff auf mehr als einen Datensatz ermöglichen, sollten sie wie Passwörter behandelt werden. Testsysteme gehörten nicht ins öffentliche Internet und müssten nicht mit echten Nutzerdaten gefüttert werden. Backups, Logs und sensible Konfigurationsdateien hätten auf offen zugänglichen Webverzeichnissen nichts zu suchen. Zudem geben Hersteller oftmals hilfreiche Hinweise, etwa dass der Symfony Profiler in Produktionssystemen nicht aktiviert werden solle, das „Minimal Security Scenario“ bei Elasticsearch nicht für Produktivsysteme/Cluster ausreiche oder das root auf Datenbanken ausschließlich vom localhost aus erlaubt sein sollte. Die zwei wichtigsten Hinweise zum Schluss: Nicht mehr benötigte personenbezogene Daten müssen gelöscht werden. Und Daten, die man nicht erhebt und speichert, können auch nicht verloren gehen. Immerhin hätten sich drei Viertel der Verantwortlichen für die Hinweise auf die Schwachstellen und offenliegenden Daten bedankt und die Fehler behoben. Zehn Prozent haben nicht reagiert, aber die Lücken abgedichtet. Zwei Unternehmen ignorierten die Warnungen jedoch komplett. Die Liste der betroffenen Organisationen ist lang, aber einige stechen heraus: BMW, Bundeswehr, Deutsche Bahn, Deutsche Post, Deutsche Telekom, dpa, Landtag Niedersachsen, Merck und Nestle. Der CCC hebt hervor, dass immerhin keines der Unternehmen Strafanzeige gestellt hätte – so hatte die CDU Mitte vergangenen Jahres reagiert, als eine Softwareentwicklerin in einer Partei-App für den Haustürwahlkampf eklatante Schwachstellen gefunden und gemeldet hatte. Matthias Marx, Sprecher des Chaos Computer Clubs, äußert sich in der CCC-Mitteilung dazu: „Dass sich kein einziger der Administratoren in betroffenen Unternehmen mit der Keule der Strafanzeige gerächt hat, ist angesichts des Gummi-Hacker-Paragraphs 202c erstaunlich. Der CCC fordert schon seit Langem die Abschaffung dieses für die IT-Sicherheit in Deutschland katastrophalen Paragraphen, an dessen Grenzen die Forscher sicher hart entlanggeschrammt sind“.