Von Dr. Thomas Hafen
Kunden und Partner des DSL-Anbieters Deutsche Breitband Dienste (DBD) sollten sich nicht wundern, wenn ihr Zugang plötzlich nicht mehr funktioniert oder Geld von ihrem Konto verschwindet. Über die Webseite des Anbieters konnte nämlich bis zum 11. April 2006 jeder, der über einen Internetzugang verfügt, auf die DBD-Datenbank mit Kunden-, Partner- und Interessentendaten zugreifen - bei Kunden inklusive Passwörtern in Klartext und Bankverbindung. Doch damit nicht genug: Die Daten ließen sich auch ändern oder löschen, und die Liste der Interessenten mit mehr als 19.000 Einträgen ließ als CSV-Datei zur Weiterverarbeitung in Excel herunterladen. Dabei musste man kein Hacker sein, um an die Informationen zu kommen. Es genügte, aus einem Link, der auf Geschäftsbedingungen und Leistungsbeschreibungen verweist, den Dateinamen zu entfernen. Dann gelangte man in das Root-Verzeichnis, das - entgegen jeder üblichen Konfiguration - frei für jedermann zugänglich war. Auch das Admin-Tool, mit dem man auf die Datenbank zugreifen kann, war durch keinerlei Zugangsschutz, beispielsweise ein Passwort, gesichert.
Mittlerweile hat der Anbieter reagiert und den Zugriff auf das entsprechende Verzeichnis gesperrt. Auf die Bitte von ComputerPartner, Stellung zu den Vorwürfen zu nehmen, hat DBD bis Redaktionsschluss nicht reagiert.
Rechtliche Handhabe fehlt
Belangt werden kann DBD für diese Schlamperei wohl nicht. Eine Ordnungswidrigkeit liegt nach Ansicht von Peter Büttgen, Sprecher des Bundesbeauftragten für den Datenschutz, nicht vor: "Nach einer ersten Einschätzung greift § 149 des Telekommunikationsgesetzes hier nicht." Auch ein Rückgriff auf das Bundesdatenschutzgesetz (BDSG) sei wohl nicht möglich. Falls durch das Ausspähen der Daten einem Betroffenen ein Schaden entstanden sei, ließe sich dieser höchstens zivilrechtlich ver- folgen, so der Experte.