Panne: Meldedaten von 500.000 Bürgern im Netz zugänglich

Behörden nutzten voreingestellte Zugangsdaten

Aufgrund eines Behördenfehlers waren Meldedaten von rund 500.000 Bundesbürgern monatelang frei im Internet einsehbar. Laut einem Bericht des ARD-Magazins „Report München“ nutzten die Ämter für die Online-Zugänge zu den Melderegistern voreingestellte Passwörter.

Aufgrund dieser Unachtsamkeit waren persönliche Daten und Passfotos frei abrufbar. Bei einem Test des Fernsehmagazins konnten bei fünf Gemeinden binnen weniger Sekunden sämtliche Daten ahnungsloser Bürger abgerufen werden – angefangen vom Familienstand über das Geburtsdatum und Religionszugehörigkeit bis hin zu Passfotos.

Insgesamt 15 der 425 Kommunen, die das Informationsregister des Unternehmens HSH nutzen, hatten einen voreingestellten Benutzerzugang nicht wie vorgesehen geändert. Den Standardzugang habe HSH zu Demonstrationszwecken für eine Internet-Gewerberegisterauskunft verwendet, sagte Unternehmenssprecher Sven Kollmorgen. Nutzerkennung und Passwort seien demnach auf einer Website zwischen März und Juni frei verfügbar gewesen. „Da ist uns ein Lapsus passiert.“

Nach Angaben des auf Behörden-Software spezialisierten Unternehmens wurden mit dem Zugang Daten von drei der insgesamt 15 betroffenen Kommunen abgerufen. Alle drei Gemeinden befänden sich im Bundesland Brandenburg, so Kollmorgen.

Inzwischen soll es nicht mehr möglich sein, mit dem Standardzugang Daten abzurufen. Welche Kommunen von der Sicherheitslücke betroffen waren, sagte der Unternehmenssprecher nicht.

Themenseiten: Big Data, Datendiebstahl, Datenschutz

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

5 Kommentare zu Panne: Meldedaten von 500.000 Bürgern im Netz zugänglich

Kommentar hinzufügen
  • Am 24. Juni 2008 um 13:57 von Paul

    Einwohnermeldeämter dürfen legal Daten zu Werbezwecken weitergeben
    Bei den nächsten Ausschreibungen sollte eine solche Firma teilweise ausgeschlossen werden um anderen Firmen die Möglichkeit zu bieten Ihr KnowHow und Ihr Verständniss von Sicherheit zu beweisen.
    Ich als Bürger muß diese Schlamperei über mich ergehen lassen.
    Andererseits dürfen Einwohnermeldeämter ja auch ohne meine ausdrückliche Einwilligung meine Daten an Werbefirmen weitergeben. Leider muß man hier explizit Widerspruch einlegen und nicht umgekehrt, das gelten würde, nur wer schriftlich zugestimmt hat dessen Daten dürfen weitergegeben werden.

    • Am 24. Juni 2008 um 15:37 von Werbung_In_Den_Müll_Schmeisser

      AW: Einwohnermeldeämter dürfen legal Daten zu Werbezwecken weitergeben
      Wieso sollten Ämter etwas dürfen, was andere nicht dürfen ? Bei Onlinegeschäften muss man doch auch den Haken bei "Ich bin einverstanden.. " setzen. Die ganze Werbeflut tritt doch erst dann ein, wenn man an irgendwelchen Gewinnspielchen teilnimmt und dazu alle persönlichen Daten hinterlässt. Im übrigen freuen sich doch die Verwertungsgesellschaften über jeden Packen weggeworfenes Altpapier und das sichert Arbeitsplätze.

      • Am 25. Juni 2008 um 12:50 von Paul

        EWMA darf dies per Gesetz
        § 35
        Melderegisterauskunft in besonderen Fällen

        (1) Die Meldebehörde darf Parteien, anderen Trägern von Wahlvorschlägen und Wählergruppen im Zusammenhang mit Wahlen zum Deutschen Bundestag, zum Europäischen Parlament, mit Landtags- und Kommunalwahlen sowie mit Ausländerbeiratswahlen in den sechs der Wahl vorangehenden Monaten Auskunft aus dem Melderegister über die in § 34 Abs. 1 Satz 1 bezeichneten Daten von Gruppen von Wahlberechtigten erteilen, soweit für deren Zusammensetzung das Lebensalter bestimmend ist. Die Geburtstage der Wahlberechtigten dürfen dabei nicht mitgeteilt werden. Die Empfängerin oder der Empfänger hat die Daten bis spätestens einen Monat nach der Wahl zu löschen.

        (2) Für Auskünfte an Träger für Abstimmungen, Bürger- und Volksbegehren gilt Abs. 1 entsprechend.

        (3) Begehren Mitglieder gewählter staatlicher oder kommunaler Vertretungskörperschaften, Presse und Rundfunk eine Melderegisterauskunft über Alters- oder Ehejubiläen von Einwohnerinnen und Einwohnern, so darf die Auskunft nur die in § 34 Abs. 1 Satz 1 genannten Daten Betroffener sowie Tag und Art des Jubiläums umfassen.

        (4) Adreßbuchverlagen darf Auskunft über

        1. Vor- und Familiennamen,
        2. Doktorgrad und
        3. Anschriften

        sämtlicher Einwohnerinnen und Einwohner, die das achtzehnte Lebensjahr vollendet haben, erteilt werden.

        (5) Betroffene haben das Recht, der Weitergabe ihrer Daten nach Abs. 1 bis 4 zu widersprechen. Sie sind bei der Anmeldung hierauf hinzuweisen.

        (6) Die Meldebehörden haben einmal jährlich und zusätzlich mindestens zwei Monate vor der Datenübermittlung an Adreßbuchverlage die Einwohnerinen und Einwohner über die Auskunftssperren nach diesem Gesetz zu unterrichten. Die Unterrichtung hat durch öffentliche Bekanntmachung in der durch die Hauptsatzung der Gemeinde vorgesehenen Form zu erfolgen. Dabei ist auf die Bedeutung, Arbeitsweise und Möglichkeiten von Adreßbüchern auf elektronischen Datenträgern hinzuweisen. Die Darenübermittlung an Adreßbuchverlage darf von der Übernahme der Kosten für die öffentliche Bekanntmachung abhängig gemacht werden.

        (7) Zum Zwecke unabhängiger wissenschaftlicher Forschung dürfen die Meldebehörden personenbezogene Daten ohne Einwilligung der Betroffenen nur für bestimmte Forschungsvorhaben übermitteln, soweit die schutzwürdigen Belange der Betroffenen wegen der Art der Verwendung nicht beeinträchtigt werden. Der Einwilligung der Betroffenen bedarf es nicht, wenn das öffentliche Interesse an der Durchführung des Forschungsvorhabens die schutzwürdigen Belange der Betroffenen erheblich überwiegt und der Forschungszweck auf andere Weise nicht erreicht werden kann. Sobald der Forschungszweck dies erlaubt, sind die Daten und Hinweise, mit deren Hilfe ein Personenbezug hergestellt werden kann, gesondert zu speichern und nach Erreichen des Forschungszweckes zu löschen.

  • Am 24. Juni 2008 um 17:05 von irgendwer

    Freiwillige Selbstkontrolle
    Da Datenschutz nicht nur technische, sondern auch organisatorische Maßnahmen umfasst, können hier immer Fehler auftreten – auch durch Unwissende, selbst wenn das nichts entschuldigt.

    Daher sind 2 Regeln immer empfehlenswert:

    1. Gib nie mehr Daten an als notwendig. Alle Dokumente NUR minimalistisch ausfüllen – schon gar keine freiwilligen Angaben. Wenn möglich Kunstname/Pseudonym verwenden. Socialnetworks können leicht mit Suchmaschinendaten verknüpft werden um ein ganzheitliches Bild von Dir zu erhalten.

    2. Über Suchmaschinen, wie z. B. Google, nach eigenem Namen in Verbindung mit Ort oder anderen Eindeutigkeitskriterien suchen. Was man selbst nicht findet, werden andere i.d.R. auch nicht finden. Was man zur eigenen Person findet, dass sollte man genauestens lesen/prüfen.

    P.S. Während der normale Tod früher oder später ganz sicher ist, lässt sich der digitale Selbstmord sehr schwer organisieren.

  • Am 24. Juni 2008 um 20:12 von Dr. Dirk-Bijan Zarrinnam

    Die ECard ist aber sicher ….
    Das ist ein kleiner Vorgeschmack auf die von der Regierung gewünschte ECard, welche sämtliche medizinischen Daten zentral verwalten soll.

    Orwell ist ein Kindermärchen dagegen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *