Schwerwiegende Verletzung der Datensicherheit durch eine öffentliche Stelle des Bundes

Datenschutz
1

Hallo liebe Community,

diesen Fall (Datensicherheitslücken mit hohem Risiko im Webforum) habe ich am 27.09. dem BfDI gemeldet. Bis heute kam nicht einmal die übliche automatische Eingangsbestätigung. Wie sind eure Erfahrungen in solchen Fällen?

Lieber BfDI, seid ihr immer so langsam oder nur in solchen dringenden Fällen? Oder muss erst ein Angriff stattfinden (für einen Hacker kein Problem, die Software dort ist löchriger als ein Schweizer Käse), mit unvorhersehbaren Folgen, und das für eine Bundesbehörde, damit ihr euch mal rührt?

(Verzeihung, wenn mir angesichts der Dringlichkeit keine höflichere Formulierung gelang. ) :wink:

2

Was soll das Forum dazu sagen? Wir kennen ja auch die Hintergründe nicht. Wenn es sich nicht um eine Bundesbehörde oder TK-Unternehmen handelt, könnte der BfDI gar nicht zuständig sein.

1 „Gefällt mir“
3

Naja, vielleicht hat hier jemand schon einschlägige Erfahrungen, dachte ich mal.

Es ist sogar eine Bundesoberbehörde, direkt dem Minsterium unterstellt. Nennt sich “BZgA” (Bundeszentrale für gesundheitliche Aufklärung).

https://rauchfrei-info.de/community/forum/

4

Ich kann bdsb nur zustimmen. Ohne die Fakten zu kennen, ist hier kein sinnvolles Feedback möglich.

Vielleicht läuft die Prüfung schon. Vielleicht hatte schon ein anderer User des bzga-Forums auf das Problem hingewiesen. Vielleicht ist an der Befürchtung offenkundig nix dran.

1 „Gefällt mir“
5

Na denn.

Das Forum wurde offensichtlich äußerst nachlässig programmiert und nie getestet. Es enthält unzählige Seiten, ich habe nur mal die Startseite gecheckt:

https://rauchfrei-info.de/community/forum/

Schon die enthält (neben unzähligen Syntaxfehlern) mehrere Möglichkeiten für Angreifer, problemlos in das System einzudringen und “alles” zu machen. Unter anderem mit CSRF-Angriffen - was damit möglich ist, muss man wohl keinem erklären, der mit IT-Security zu tun hat. Und das ist wie gesagt eine Seite von unzähligen, und gecheckt habe ich sie mit kostenlosen öffentlichen Tools.

https://validator.w3.org/

https://www.onlinesolutionsgroup.de/kostenloser-website-security-check/

Ermittler haben bessere. Als alter ITler mit einiger Praxis auch in bezug auf Fehlersuche und Datensicherheit bot ich der BZgA auch meine Zuarbeit an - abgelehnt, ihre IT würde dem schon nachgehen. Das wage ich zu bezweifeln, dazu waren sie nicht gewillt oder in der Lage (vermutlich nicht einmal informiert), so lange das Forum existiert und auch die User häufig Probleme melden. Ein kleines Wunder, dass noch nicht mehr passiert ist.

Das denken alle, so lange noch nichts passiert ist. :wink: Der letzte Fall, an den ich mich erinnere:

https://www.netzwelt.de/betrugswarnungen/166108-massiver-datenleck-domainfactory-zugriff-sensible-kundendaten.html

https://www.df.eu/blog/zusammenfassung-datenpanne-juli-2018/

Frag’ mal bei domainfactory an, was das Ganze gekostet hat. Von dem Ärger mit den Ermittlungsbehörden mal ganz zu schweigen … Was an die Öffentlichkeit kommt, ist aber nur die “Spitze eines Eisbergs”, das weiß man wohl. Also auch, dass das nur ein Fall von vielen war, und immer noch ein vergleichsweise harmloser.

Und das war ein Datenleck, im BZgA-Forum gibt’s unzählige. Und dieser Hacker war so “fair”, dass er keinen Missbrauch mit den Kundendaten betrieben hat. Der wollte ja auch etwas ganz anderes. Der “Hintenrum” - Datenverkauf ist inzwischen in großem Stil weltweit mafiös organisiert.

Mit Sicherheit nicht. Die haben andere Probleme, konkret mit dem Login. Sporadisch, aber dann massiv. Und die “Erklärungen” der Moderation “Rücksprache mit der IT gehalten, vermutlich Serverprobleme” zeugen von ziemlicher Inkompetenz. Das Login, überhaupt die ganze Userverwaltung, ist allein Sache der Forensoftware, nicht des Servers.

Übrigens besteht zwischen “der Website” an sich und dem eingebundenen Forum ein Unterschied wie Tag und Nacht. (Die stammen ja auch von zwei verschiedenen Anbietern.) An der Startseite hat nicht mal der messerscharfe W3C - Validator was auszusetzen, das will was heißen. Der moniert jedes falsche Zeichen an.

6

Und das erst: Nach einer Woche schon eine Rückmeldung vom BfDI! Es existiert schon ein Aktenzeichen! Nachdem ich gestern den Chef persönlich angeschrieben habe - Zufall? Jedenfalls sieht man mal wieder: Unmögliches wird sofort erledigt, Wunder dauern etwas länger. :wink:

Die gewünschte Beschreibung kriegen sie natürlich postwendend von mir. Da muss ich doch nur noch kopieren. :wink:

7

Und wer ist denn nun “der Verantwortliche”? In meinem Fall beobachte ich gerade mit wachsendem Amüsement, wie da die Verantwortung von einem zum anderen geschoben wird. Die lt. Impressum Verantwortliche hält sich fein 'raus, ist einfach abwesend. Dumm nur für die, an die sie die Verantwortung “delegiert” hat. Die ist damit hoffnungslos überfordert, aber die wird dann wohl den Schwarzen Peter fangen.

Interessant. Ich stehe seit einer guten Woche in regem Mailverkehr mit allen Adressen, derer ich so habhaft werden konnte. Die einzigen, die noch nie geantwortet haben, nicht mal eine Vertretung benannt, sind die Leitung. :wink: Was sehe ich da: Auch nur ein kommissarischer Direktor - irgendwie scheint sich keiner den Hut so richtig aufsetzen zu wollen. :wink:

Die letzen Mails gingen nur noch zwischen dem Justiziariat und mir hin und her. Nach dem letzten Wort des guten DSB (bevor er sich bis 9.10. verabschiedet hat), er wolle mit dem Justiziariat “mögliche strafrechtliche Schritte gegen mich erörtern”. Da ist die gute Frau Justiziarin schon etwas vorsichtiger: Kein Wort von Strafrecht, man behält sich nur “weitere Schritte vor”. :wink:

8

Das sag’ mal den “Verantwortlichen” des BZgA - Forums. :wink:

Justizzentrum
Amtsgericht Köln
Luxemburger Straße 101
50939 Köln

***, 25.09.2023

Unterlassungsklage

Sehr geehrte Damen und Herren,

hiermit erhebe ich Klage gegen:

Frau ***** ******
Referentin der Bundeszentrale für gesundheitliche Aufklärung (BZgA)
Maarweg 149-161
50825 Köln

auf Unterlassung der unzulässigen Löschung meines Nutzerprofils im „rauchfrei Forum“.

Begründung:
Frau ****** handelte in Vertretung der Verantwortlichen für das Forum, Frau Michaela Goecke, während deren Abwesenheit. In enger Abstimmung mit der Forenadministration wurde im Zeitraum vom 22.09. bis 24.09.2023 mein Nutzerprofil und damit meine sämtlichen Beiträge und privaten Nachrichten mehrfach kommentarlos gelöscht.

Die dazu erforderliche Verwarnung und außerordentliche Kündigung unseres Vertragsverhältnisses erfolgte nicht.

Ich erhebe also Klage mit dem Antrag,

  • die Beklagte zu verurteilen, die Löschung meines Nutzerprofils zu unterlassen und
  • mir wieder Zugang zum Forum zu gewähren, zumindest für die Frist einer ordentlichen Kündigung
    (6 Monate),
  • der Beklagten für jeden Fall der Zuwiderhandlung ein Ordnungsgeld oder Ordnungshaft anzudrohen,
  • der Beklagten die Kosten des Verfahrens aufzuerlegen.

Mit freundlichen Grüßen

Das kann eine Weile dauern. Aber dann werden sie erst recht ihre liebe Not haben, die Regelverstöße nachzuweisen, die sie mir vorwerfen. Und in einem vergleichbaren Fall hat das Gericht sogar dem User Recht gegeben, obwohl er - im Gegensatz zu mir - massiv gegen Regeln verstoßen hatte (Werbung betrieben).

Im Übrigen ist im Sinne des “virtuellen Hausrechts” sogar eine Sperre ohne Begründung zulässig, aber eben nur eine Sperre des Users, keine Löschung des Accounts und damit sämtlicher Beiträge. Aber Sperre (wie auch bei Regelverstößen allgemein üblich) ist ja mit dieser vorsintflutlichen Software auch nicht möglich - oder das Team weiß nur nicht, wie. :wink:

Aber nur dann wäre eine Neuregistrierung ein Regelverstoß. Ein Mehrfachaccount ist schließlich keiner, wenn kein anderer (mehr) existiert. Oder sehe ich das falsch? :wink:

9

Hallo, schon nach einem halben Jahr hat das AG Köln reagiert! Mit einer Kostenforderung. Netter Gag.