Essen/Gelsenkirchen. „Erschreckende“ Feststellungen machte ein Familienvater: Persönliche Daten von Kursteilnehmern des Essener Sportbundes waren einfach zugänglich.
Die Kurse fürs nächste Trimester waren gerade freigeschaltet. Als Till Hahn* seinen kleinen Sohn für einen Schwimmkurs anmelden wollte, da war es für ihn aber so schwer „wie Konzertticket für einen Superstar zu bekommen“, erzählt er. Das Kursbuchungssystem der Essener Sport-Betriebsgesellschaft mbH (ESBG) war wieder einmal zusammengebrochen.
Für Eltern und andere Kursbucher, die nicht nur aus Essen, sondern auch aus Gelsenkirchen, Bottrop und anderen Ruhrgebietsstädten kommen, bedeutete das viel Geduld, um es bis zur Buchungsbestätigung zu schaffen. Aber Till Hahn ist jemand, der das nicht einfach hinnimmt. Wissen wollte er, welche Prozesse im Hintergrund laufen, um die Ausfälle zu verstehen. Dabei bemerkte der Hobby-Programmierer Unregelmäßigkeiten und fand heraus: Tausende persönliche Daten waren über einfache Handgriffe einsehbar - Kontonummern, Rechnungen, Adressen, Klarnamen, auch der angemeldeten Kinder.
Tausende Benutzerkonten betroffen – Sicherheitslücke im Kursbuchungssystem
Seinen echten Namen will Till Hahn nicht in der Zeitung lesen. Er verweist auf den sogenannten „Hacker-Paragrafen“ im Strafgesetzbuch. Durch ihn wurden rechtliche Grauzonen für Personen geschaffen, die Schwachstellen mit guten Absichten aufdecken möchten. Selbst wenn jemand eine Sicherheitslücke nur entdeckt, keine bösen Absichten hat und verantwortungsvoll meldet, könnte ihm vorgeworfen werden, er habe unbefugt in ein System eingegriffen. Und dass er alles nur mit guter Absicht getan hätte, das betont Hahn ausdrücklich. An die Öffentlichkeit ging er deswegen erst, als die ESBG ihre Sicherheitslücke geschlossen hatte.
Betroffen von der Schwachstelle war die Webanwendung zur Kursbuchung (https://kurse.essener-sport-betriebsgesellschaft.de/). Durch sie konnte Hahn schnell Zugriff auf das komplette Backend, also den administrativen Bereich, der Seite erhalten. Das ermöglichte ihm nicht nur, die erwähnten persönlichen Daten, sondern auch auf die gesamte Verwaltung der Seite zuzugreifen, wo Kurse verwaltet, Buchungen gemanagt und Kursstatistiken gepflegt werden. Nachweisen kann Hahn, dass rund 7971 Benutzerkonten betroffen waren.
Sicherheitslücke bei Kurs-Anmeldesystem entdeckt: So ging Hobby-Programmierer vor
Hahn stellte fest, dass Adressen zu Datenschnittstellen, sogenannte API-Endpunkte, in den Netzwerkabfragen mitgesendet wurden. Hierunter waren auch die Schnittstellen, die für die Nutzerverwaltung zuständig sind. „Ich konnte über ein neu angelegtes Benutzerkonto also einfach auf die Verwaltung aller registrierten Benutzer zugreifen – es wurde lediglich geprüft, ob ein Benutzer eingeloggt ist, jedoch nicht, ob der Benutzer Zugriffsrechte für die Verwaltung besitzt.“
Videos und Bilder aus Gelsenkirchen finden Sie auch auf unserem Instagram-Kanal GEtaggt. Oder abonnieren Sie uns kostenlos auf Whatsapp und besuchen Sie die WAZ Gelsenkirchen auf Facebook.
Hahn konnte dann ungeschützt seinen Benutzer für den mittlerweile gut drei Monate zurückliegenden Test als Administrator der Seite hinterlegen und hatte – neben den Benutzerdaten – plötzlich Zugriff auf die gesamte Verwaltung aller Buchungen, Kurse und Gutscheine. „Ich habe mich selbst ganz schön erschrocken, als mir klar war, was ich auf meinem Bildschirm sehe. Meine eigenen Daten, der Name meines Kindes, Daten von Freunden, Bekannten und tausenden Fremden hätte ich herunterladen könnten.“
„Die Reaktion zum Schließen der Sicherheitslücke erfolgte sehr schnell“
Die Essener Sport-Betriebsgesellschaft mbH lässt Presseanfragen zu den Sicherheitsdefiziten von ihrem Anwalt Kai Mächel beantworten. Dieser betont zunächst: „Meine Mandantin möchte auf der einen Seite ein möglichst komfortables Buchungssystem bereitstellen, auf der anderen Seite aber auch dafür Sorge tragen, dass der Umgang mit den Daten sicher ist.“ Daher sei „eine Sicherheitslücke, die es tatsächlich gegeben hat“, sofort am Tage des Bekanntwerdens geschlossen worden, versichert der Fachanwalt für IT-Recht. Ein genaues Datum nennt Mächel nicht. Beantwortet wurde auch nicht, wie lange die Lücke tatsächlich bestand. Klar ist hingegen, dass die ESBG Mitte Dezember 2024 von Till Hahn informiert wurde.
- Bochumer bringen „sichersten Datenspeicher der Welt“ auf Markt
- Essener Eltern loben: „Das ist eine Schwimmschule mit Herz“
- Schwimmen: Fünfjährige Mina steht jetzt vor Goldabzeichen
„Vorsorglich“ sei zudem vorschriftsgemäß auch noch eine Meldung an die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW erfolgt, so Mächel. Wichtig ist es, dem Anwalt außerdem zu betonen, „keineswegs“ seien massenhaft Datensätze offen zugänglich gewesen. „Öffentlich vielleicht nicht, aber eben leicht zugänglich“, nennt es hingegen Till Hahn, der aber auch lobende Worte für die ESBG übrig hat: „Die Reaktion zum Schließen der Sicherheitslücke erfolgte sehr schnell.“ Eine Kontaktaufnahme mit ihm sei zwar dann spät gekommen, letztendlich habe er aber ein Schreiben erhalten, in dem ihm für die Meldung der Sicherheitslücke gedankt wurde. „Es wurde mit meiner Meldung sehr professionell umgegangen“, betont Hahn.
Enthüller der Sicherheitslücke: „Ich hoffe, dass man daraus lernt“
Mit der schnellen Überlastung, die Anstoß für Hahns Recherche war und die zum Start neuer Kursbuchungen viele Kunden trifft, habe die Sicherheitslücke jedoch nichts zu tun, bekräftigt Mächel. Hier handele es sich „schlicht um eine System-Überlastung und in keinem Fall um ein Sicherheitsrisiko.“ Das Problem sei bei der ESBG bekannt. „Es sind auch – im Rahmen der gegebenen finanziellen Mittel - Maßnahmen in Vorbereitung, die Überlastungsgrenze etwas weiter zu verschieben. Im Anschluss wird analysiert, ob die getroffenen Maßnahmen ausreichend waren.“
Auf eigene Sicherheit achten
Ein sicheres Passwort hätte im Fall der Sicherheitslücke in Essen zwar nicht geholfen, dennoch können Nutzerinnen und Nutzer für die Sicherheit ihrer Online-Konten auch selbst einiges tun.
Die Verbraucherzentrale in NRW merkt hierzu an: Lange sei empfohlen worden, Passwörter regelmäßig zu ändern, um Konten vor unberechtigten Zugriffen zu schützen. Viele Verbraucher hätten dadurch ihre Passwörter mit der Zeit aber eher geschwächt, um sie sich bei der Vielzahl an Passwörtern leichter merken zu können.
„Es ist daher besser, einmal ein starkes Passwort zu wählen, statt ständig wechselnde schwache Passwörter zu nutzen“, sagt Ayten Öksüz, Datenschutzexpertin bei der Verbraucherzentrale NRW. Dabei gelte grundsätzlich: je länger, desto besser. Ein starkes Passwort sollte mindestens acht (besser zwölf) Zeichen lang sein – dann aber auch aus vier verschiedenen Zeichenarten bestehen, also Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.
Noch wichtiger sei es aber, gerade sensible Accounts zusätzlich mit der Zwei-Faktor-Authentisierung zu sichern, betont Öksüz. Wie man Passwörter sicher aufbewahrt und welche Alternative es zu Passwörtern gibt, zeigt die Verbraucherzentrale zudem unter www.verbraucherzentrale.nrw/node/11672
Hahn hofft, die geplanten Maßnahmen bedeuten, dass er bei der nächsten Kursanmeldung für seinen Sohn nicht wieder ständig beim Buchungsvorgang hängen bleibt. Ob er sich überhaupt noch wohlfühlt, das Online-Kursbuchungssystem zu nutzen? „Die Probleme sind ja erst einmal behoben“, sagt er. „Aber ich hoffe, dass man daraus lernt und auch weitere, kleine und lokale Betreiber, die mit vielen persönlichen Daten arbeiten, einen Blick auf die Sicherheit ihrer Systeme werfen.“
[Essen-Newsletter hier gratis abonnieren | Folgen Sie uns auch auf Facebook, Instagram & WhatsApp | Auf einen Blick: Polizei- und Feuerwehr-Artikel + Innenstadt-Schwerpunkt + Rot-Weiss Essen + Lokalsport | Nachrichten aus: Süd + Rüttenscheid + Nord + Ost + Kettwig und Werden + Borbeck und West | Alle Artikel aus Essen]