Chaos Computer Club findet 50 Leaks mit 6,4 Millionen offenen Datensätzen

In den vergangenen Wochen hat der Chaos Computer Club (CCC) aktiv nach Datenlecks im Internet gesucht und ist in großem Maße fündig geworden. In über 50 Leaks fanden die Sicherheitsforscher 6,4 Millionen Datensätze sowohl von staatlichen Institutionen als auch von privaten Unternehmen verschiedener Branchen. Dabei fanden sich Daten von Kunden, Bewerbern, Patienten, Versicherten und Social-Media-Nutzern. Besonders problematisch: Alle Daten waren frei verfügbar, technische Hürden mussten nicht überwunden werden.

Der CCC fand auch Terabytes an Log-Daten und Quellcodes, diese aber „verblassten in Anbetracht der Menge an persönlichen Daten“, schreibt der Chaos Computer Club in seiner Mitteilung. Man habe in der Hälfte der Fälle unmittelbar auf personenbezogene Daten zugreifen können, in einigen Fällen waren sogar private Schlüssel für Cloud-Dienste einsehbar.

Kritik an sorglosem Umgang mit Kundendaten

Die gefunden Datenlecks habe man unmittelbar nach der Entdeckung an die jeweiligen Unternehmen bzw. Verantwortlichen gemeldet. In keinem der mehr als 50 Fälle sei Strafanzeige gegen den CCC erstattet worden, wie die Sicherheitsforscher positiv hervorheben. Zwei Unternehmen hätten die gemeldeten Probleme ignoriert. Drei Viertel der Verantwortlichen haben sich bedankt und die Schwachstelle behoben. Von zehn Prozent der Unternehmen habe es keine Reaktion gegeben, die entsprechende Schwachstelle sei allerdings behoben worden. Von einigen Unternehmen habe es gar Belohnungen gegeben, die man gespendet habe.

Personenbezogene Daten seien nicht in allen Fällen betroffen gewesen, bei „brisanten“ Datenlecks habe man aber die zuständigen Landesdatenschutzbehörden bzw. das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert. Ob die betroffenen Nutzer von den Verantwortlichen über die Datenlecks informiert wurden, sei nicht bekannt. Ein solches Versprechen sei nur aus drei Antworten hervorgegangen.

„Es ist ernüchternd, wie sorglos manche Unternehmen mit ihren Daten oder, schlimmer, den Daten ihrer Kundinnen umgehen. Immerhin wurde in den meisten Fällen schnell und professionell reagiert. Für die anderen hoffen wir, dass unsere Meldung der letzte notwendige Weckruf war“, so Matthias Marx, Sprecher des Chaos Computer Clubs. In Zukunft will der Chaos Computer Club weitere „freiwillige Netzpatrouillen“ durchführen.