Internet

Millionen Bankdaten offen zugänglich

Deutsche Forscher finden Schlampereien bei einer verbreiteten Datenbank

Studenten aus Saarbrücken haben eine schwerwiegende Sicherheitslücke im Internet entdeckt. „Jedermann konnte mehrere Millionen Kundendaten mit Namen, Adressen, E-Mails und Kreditkartennummern im Internet abrufen oder gar verändern“, teilte die Universität Saarbrücken mit. Ursache sei eine falsch konfigurierte frei verfügbare Datenbank-Software, auf der weltweit Millionen von Online-Shops und Plattformen ihre Dienste aufbauen.

Die Lücke betrifft nach Erkenntnissen der Studenten am Kompetenzzentrum für IT-Sicherheit (CISPA) knapp 40.000 Datenbanken. Bei dem falsch implementierten Programm handelt es sich um die populäre Datenbank MongoDB (von humongous, gigantisch), die als offene Software kostenlos verwendet werden kann. „Halten sich die Betreiber bei der Installation blind an die Leitfäden und bedenken nicht entscheidende Details, stehen die Daten schutzlos im Internet“, erklärten die Saarbrücker Forscher. Sie haben Hersteller und Datenschützer informiert.

Die Datenbank wird von der gleichnamigen Firma MongoDB entwickelt, die sich als internationales Unternehmen mit US-Hauptquartieren in New York und Palo Alto agiert. MongoDB verdient das Geld mit Serviceleistungen für über 2000 Großkunden und hatte erst im vergangenen Januar eine Finanzspritze von 80 Millionen Dollar von Investoren für die Umsetzung einer internationalen Wachstumsstrategie erhalten.

„Der Fehler ist nicht kompliziert, seine Wirkung ist jedoch katastrophal“, erklärte Professor Michael Backes, Direktor des CISPA. Die Lücke betreffe eine hohe Anzahl von Datenbanken, die im Internet ohne jegliche Schutzmechanismen zu erreichen seien. Drei CISPA-Studenten hätten über eine Suchmaschine nach MongoDB-Servern und Diensten gesucht. Bei vielen Suchtreffern sei der Zugang weder geschlossen noch in irgendeiner anderen Form abgesichert gewesen. „Eine so ungesicherte Datenbank im Internet gleicht einer öffentlichen Bibliothek ohne Bibliothekar mit weit offen stehender Eingangstür. Jeder kann dort rein“, erklärte Backes.

Auch deutsche Kunden betroffen

Zu den betroffenen Websites gehörte demnach auch die Kundendatenbank eines französischen börsennotierten Internetdienstanbieters und Mobiltelefonie-Betreibers, die die Adressen und Telefonnummern von rund acht Millionen Franzosen enthielt. Laut Aussage der Studenten befinden sich darunter auch eine halbe Million deutscher Adressen. Die Datenbank eines deutschen Onlinehändlers inklusive Zahlungsinformationen hätten sie ebenfalls ungesichert vorgefunden. Die Wahrscheinlichkeit ist groß, dass auch andere größere Website-Anbieter betroffen sind. Die Forscher haben nach eigenen Angaben „aus rechtlichen Gründen“ nur zwei Stichproben vorgenommen, bei denen sie genauer nachgesehen haben.

Tatsächlich weist MongoDB darauf hin, Daten mit einem Passwort zu schützen. Allerdings verwenden viele Nutzer die Datenbank nur auf lokalen Rechnern, wo ein solcher Schutz nicht unbedingt notwendig ist. Sobald ein solcher Rechner aber ungeschützt mit dem Internet verbunden wird, liegen die Daten offen. Wie häufig solche Fehler sind, ist schwer auszumachen. Die Forscher in Saarbrücken haben 40.000 solche Fälle entdeckt. Allerdings gibt es keine Angaben über die Zahl der MongoDB-Nutzer. Mit dem Fehler können sich Administratoren strafbar machen und – insbesondere bei personenbezogenen Daten – gegen das Bundesdatenschutzrecht verstoßen.