#1 13. Juli 2008 Das Sicherheitsleck bei TNS Infratest/Emnid war gravierender als vermutet: Mit einem Trick konnten persönliche Nutzerdaten nicht nur abgefragt, sondern auch manipuliert werden. Der Bundesdatenschutzbeauftragte will Firmen nun per Gesetz verpflichten, solche Pannen selbständig aufzuklären. Als Frau W. am Mittwoch ihre E-Mails las, bekam sie einen gehörigen Schreck. In ihrem Postfach fand sie eine Mail vom 4. Juli 2008, Betreff: "TNS Infratest - Zugang zum Online Portal wegen erkanntem Sicherheitsleck vorübergehend gesperrt". Um was für ein Sicherheitsproblem es sich handelte, erläuterte der Marktforschungsgigant nicht näher. Das erfuhr Frau W. erst aus einem SPIEGEL-ONLINE-Artikel. Dort las sie, dass man ihre persönlichen Daten online einsehen konnte: Name, Adresse, Alter, Beruf, Automarke und Prepaid-Handy-Vertrag von Frau W. standen in einer Online-Datenbank von TNS Infratest/Emnid. Mehr als 40.000 Personen besitzen einen Zugang zu dieser Datenbank - und konnten mit einem einfachen Trick die Daten aller anderen 40.000 Nutzer einsehen. Als der Fehler am vergangenen Freitagmittag bekannt wurde, hat Infratest/Emnid die Datenbank sofort offline genommen - und an alle Betroffenen, darunter Frau W., jene allgemein gehaltene Warn-Mail verschickt. Wie groß das Sicherheitsleck wirklich war, hat SPIEGEL ONLINE inzwischen recherchiert: Nachfragen bei Personen, die in der Datenbank gelistet sind, und Gespräche mit Datenschutzexperten haben ergeben, dass potentielle Eindringlinge nicht nur die persönlichen Daten anderer Nutzer einsehen, sondern auch beliebig manipulieren konnten. Auch wie das Datendesaster genau zustande kam, konnte rekonstruiert werden. Wie der Daten-Gau zustande kam Jeder Nutzer in der TNS-Datenbank bekommt eine sogenannte Session-ID zugewiesen, eine fünfstellige Nummer, die auch in der Internet-Adresse auftaucht. Nur wurde diese Nummer nicht per Zufallsgenerator vergeben, sondern fortlaufend. Dadurch konnte man in der Internet-Adresse eine beliebige Nummer angeben und so auf die Profile anderer Nutzer zugreifen. Daraus entstand ein gravierendes Problem: Sobald man die Session-ID eines anderen Nutzers eintippte, glaubte die Datenbank, man wäre diese Person. Dadurch konnte man die Datensätze anderer Nutzer beliebig verändern. David Ehlers, Geschäftsleiter der Forschungs-GmbH Infratest im Bereich Datenbeschaffung, bestätigte SPIEGEL ONLINE diese Angaben auf Anfrage, beteuerte aber, Infratest habe die Datenbank inzwischen geprüft und festgestellt, "dass niemand dieses Sicherheitsleck ausgenutzt hat - außer dem CCC". Der Chaos Computer Club (CCC) hatte die Lücke vergangenen Freitag öffentlich gemacht (mehr...). Obwohl kein Schaden entstanden ist, bleibt die Datenpanne bei Infratest problematisch: Laut Paragraph 9 des Bundesdatenschutzgesetzes sind Unternehmen, die sensible Daten sammeln, verpflichtet, technische und organisatorische Maßnahmen zu treffen, um deren Schutz zu gewährleisten. Datenschutzbeauftragter fordert Transparenz bei Fehlern Auch der Bundesdatenschutzbeauftragte Peter Schaar hält das Sicherheitsleck für misslich. "Allerdings ist es kein Einzelfall", sagt er SPIEGEL ONLINE. "Wir kennen viele Fälle, bei denen die Session-ID fortlaufend vergeben wird. In der Vergangenheit hatten dieses Problem unter anderem Web-Shops und eGovernment-Portale." All diese Vorfälle zeigten, wie heikel der Umgang mit sensiblen Daten sei. Daher sei, vor allem im Umgang mit Datenpannen, mehr Transparenz geboten: "Wenn ein Unternehmen ein Sicherheitsleck entdeckt, sollte es per Gesetz dazu verpflichtet sein, die betroffenen Personen selbständig aufzuklären", sagt Schaar. "Derzeit klären Firmen ihre Fehler nur auf, wenn Journalisten vorher darüber geschrieben haben." Im Fall Infratest gibt es noch Unklarheiten. Nach Angaben des Marktforschers waren nur sogenannte Mystery Shopper von der Datenpanne betroffen. Das sind Testkäufer, die eingesetzt werden, um inkognito die Servicequalität von Unternehmen festzustellen. Eingesetzt werden sie zum Beispiel in Geschäften oder Restaurants. Allerdings sagten mehrere Personen, die in der löchrigen Datenbank von Infratest gelistet sind, SPIEGEL ONLINE, dass sie niemals als Mystery Shopper tätig waren - und ihnen auch nie angeboten wurde, diesen Job zu machen. Auch Frau W. ist nach eigenen Angaben kein Mystery Shopper, und sie sagt, sie könne sich nicht daran erinnern, bei TNS Interesse bekundet zu haben, einer zu werden. Wie MyTNS-Nutzer in die löchrige Datenbank gelangten Mehrere Personen gaben allerdings an, im Online-Portal MySurvey (früher: MyTNS) registriert zu sein. In diesem Online-Portal füllen Nutzer Marktforschungsfragebögen aus. Das Themenspektrum reicht von Angaben zum Mediennutzungsverhalten bis zur bevorzugten Zahnbürstenmarke. Wer an diesen Umfragen teilnimmt, erhält Bonuspunkte, die gegen Geschenke und onuspunkte, die gegen Geschenke und Gutscheine eingelöst werden können.David Ehlers von Infratest erklärt, wie einfache Umfrageteilnehmer in die Mystery-Shopper-Datenbank gerutscht sind: "In manchen MySurvey-Umfragen wurden Nutzer gefragt, ob sie Interesse hätten, gelegentlich als Mystery Shopper zu arbeiten." In der Datenbank seien aber nur diejenigen geführt, die aktiv Interesse bekundeten, etwa indem sie in einer Umfrage ein Häkchen aktivierten. "Wer dies tat, erhielt eine E-Mail mit Zugangsdaten zu einem Online-Formular. Erst wer dort persönliche Angaben eingetragen hat, wurde in der Datenbank aufgenommen", sagt Ehlers. Derzeit arbeite man daran, die Sicherheitslecks in der Datenbank zu stopfen. Bis auf weiteres könnten Nutzer ihre Daten nicht mehr selbst online einpflegen. Die Ultima Ratio wäre, dass das auch in Zukunft so bleibt. Wenn man keine sichere Online-Lösung finde, werde Infratest "Nutzerdatenbanken künftig offline nehmen und die Daten von Nutzern selbst einpflegen", sagt Ehlers. Quelle (spiegel.de) + Multi-Zitat Zitieren