Schufa-Daten unzureichend gesichert?

Das Internetportal gulli.com hat eine mangelhafte Absicherung der Daten bei der Schutzgemeinschaft für allgemeine Kreditsicherung, kurz Schufa, angeprangert. Selbst Anfänger könnten "alle möglichen Inhalte der Seite auslesen", heißt es auf deren Website. Aus Sicht der Piratenpartei reiht sich der Vorfall in eine lange Reihe brisanter Sicherheitslücken. Es zeige sich erneut, dass jede Form der personenbezogenen Datensammlung ein Sicherheitsproblem darstellt, so der Bundesvorsitzende der Partei, Sebastian Nerz.

Die Schufa ist eine privatwirtschaftlich organisierte Auskunftsdatenbank, die insbesondere von Banken und betrieblichen Kreditgebern in Anspruch genommen wird. Sie verfügt über mehrere Millionen Datensätze, die über die Zahlungsfähigkeit von Firmen und Privatpersonen Auskunft geben.

"Nicht mehr als eine Fingerübung"

[Bildunterschrift: Computerexperte Schieb kritisiert die mangelnde Sorgfaltspflicht der Schufa-Auskunftei. ]
Konkret geht es um eine Sicherheitslücke, die von anderen Webservern schon länger bekannt ist: "Die Webseite der Schufa, meineschufa.de, verfügt über dieses Sicherheitsleck", sagte WDR-Computerexperte Jörg Schieb auf Anfrage von tagesschau.de. Dieses Sicherheitsleck erlaube Angreifern auch ohne großen Aufwand Zugriff auf Dateien, die auf dem Webserver gespeichert sind. "Ob diese Sicherheitslücke ausgenutzt wurde und ob dabei Daten entwendet wurden oder nicht, lässt sich derzeit noch nicht sagen."

Der Zugang zu den Daten sei durch eine sogenannte "Local File Inclusion" möglich. Eine solche Sicherheitslücke auszunutzen sei vergleichsweise einfach. "Für geübte Hacker nicht mehr als eine Fingerübung", so Schieb. Welche Erkenntnisse man dabei gewinnt, erfahre man allerdings erst, wenn die Lücke ausgenutzt wird.

Schufa: Kerndatenbank nicht betroffen

[Bildunterschrift: Die Internetseite der Schufa: Manche Daten waren bislang offenbar nicht ausreichend gesichert. ]
Nach Aussagen der Schufa ist die Kerndatenbank des Unternehmens von dem nun beanstandeten Datenleck nicht betroffen. "Unsere Prüfungen haben ergeben, dass auf dem beschriebenen Weg keinerlei Zugang zu personenbezogenen Daten möglich ist und zu keinem Zeitpunkt möglich war", teilte Pressesprecher Christian Seidenabel auf Anfrage von tagesschau.de mit. Auf dem genannten Webserver seien ausschließlich Formulare und andere für Kunden gedachte Dokumente abgelegt gewesen. Dennoch solle die Sicherung für diesen Server in Kürze optimiert werden. Ein Zugriff auf die dort abgelegten Daten werde dann nicht mehr möglich sein.

Die Piratenpartei betont hingegen in ihrer Pressemitteilung: "Sollte über die Lücke auch der Zugriff auf die gespeicherten Bürgerdaten möglich sein, wäre es vermutlich der größte und bedeutendste Daten-GAU des Jahres." Doch auch wenn die sensiblen Daten durch das Leck nicht betroffen wären, fordert die Partei mehr Sparsamkeit bei der Anhäufung großer Datenmengen: "Ob Schufa oder andere große Datenbestände wie die deutschen Zensusdaten, die digitalen Steuerdaten oder die Arbeitnehmer-Datenbank ELENA: Nur wenn Daten erst gar nicht gespeichert werden, sind sie vor unbefugten Zugriffen sicher."

Computer-Experte fordert Sicherheitscheck

Computer-Experte Schieb kritisiert konkrete Versäumnisse bei der Schufa: Sie verfüge über äußerst sensible Daten, zudem von sehr vielen Bundesbürgern. Die Sorgfaltspflicht sei hier um ein Mehrfaches höher als bei anderen Anbietern im Netz. "Dass es dort eine Standard-Sicherheitslücke gibt, darf einfach nicht sein und kann nur als skandalös bezeichnet werden."

Sensible Daten müssten sicher verwahrt werden. Daher brauche es einen vorgeschriebenen, regelmäßigen Sicherheitscheck für alle Anbieter, die sensible Daten von Bundesbürgern speichern, so Schieb. "Erst recht, wenn diese Daten so sensibel sind wie im Fall der Schufa und die Daten auch noch gegen den Willen der Betroffenen erhoben werden."

• Schufa gewährt Privatleuten Auskunft über Firmen (28.12.2010).

• Weltatlas: Deutschland [Flash|HTML] .

Artikel versenden