Frankfurt: Datenpanne bei Online-Anträgen auf Anwohner-Parkausweisen – Magistrat der Stadt Frankfurt verdreht Ursache und Wirkung und nennt Hinweisgeber „Angreifer“

Datenschutzrheinmain/ Februar 2, 2018/ alle Beiträge, Regionales, Verbraucherdatenschutz/ 0Kommentare

Markus Drenger, aktives Mitglied des Darmstädter Chaos Computer Club, hat Anfang Januar 2018 feststellt, dass die Online-Plattform, über die die Städte Frankfurt, Offenbach und Neu-Isenburg ihren Einwohnern Anträge auf Anwohner-Parkausweise möglich machte, eine Sicherheitslücke aufweist. Die Hessenschau berichtet am 04.01.2017: “Die Sicherheit dieser Software wollte Drenger prüfen. Auf der Seite der Stadt Frankfurt füllt er den Online-Antrag aus und bekommt jeweils eine Meldung, ob Adresse und Geburtsdatum richtig sind. Das macht Drenger stutzig. Die Software gleicht die Angaben mit den Daten des Einwohnermeldeamts ab. Das ermöglicht allerdings Missbrauch: Denn mit etwas Fleißarbeit oder einem Programm, das automatisch mögliche Geburtsdaten durchgeht, kommt irgendwann eine positive Meldung – eine Sperre bei häufigen Fehlversuchen gibt es nicht… Als Drenger die Sicherheitslücke durchschaut hat, wendet er sich an die hessenschau, um die Panne öffentlich zu machen. ‘Das ist eine Preisgabe von Daten, die eigentlich nicht passieren darf’, sagt Markus Drenger. Mit Adresse und Geburtsdaten können nicht nur Anwohner-Parkausweise beantragt, sondern auch Online-Einkäufe erledigt werden. ‘Vielleicht fehlt da einfach an den wichtigen Stellen das Bewusstsein für Datenschutz’, vermutet der Computerspezialist…”

Jessica Purkhardt, Stadtverordnete der Grünen, nahm die Medienberichte zum Anlass für eine Anfrage in der Stadtverordnetensitzung am 01.02.2018. Ihre Frage: Nach Recherchen des Hessischen Rundfunks bestand bei der von einem externen IT‑Dienstleister entwickelten und von der Stadt Frankfurt genutzten Online-Plattform zur Beantragung von Anwohnerparkausweisen durch eine Datenschutzlücke die Möglichkeit zur missbräuchlichen Abfrage von Daten des Frankfurter Einwohnermeldeamtes. Ich frage den Magistrat: Ist es zu mutmaßlich missbräuchlichen Datenabfragen gekommen, die sich beispielsweise durch gehäufte Eingaben in kurzen Zeitabständen ohne abschließende Beantragung eines Ausweises erkennen lassen, und mit welchen Maßnahmen soll das zukünftig verhindert werden?“

Auf ihrer Homepage hat Frau Purkhardt die Antwort des Magistrats im Wortlaut veröffentlicht. Mit einer Verdrehung von Ursache und Wirkung wird Markus Drenger nicht als nützlicher Hinweisgeber, sondern durchgängig als Angreifer bezeichnet:

Der Magistrat bestätigt, dass ein Angreifer – nach eigenem Bekenntnis in der Hessenschau vom 03.01.2018 handelt es sich um Herrn Markus Drenger vom Chaos Computer Club Darmstadt – das Online-Antragsverfahren für den Bewohnerparkausweis missbräuchlich genutzt hat. Der Angreifer hat sich zunutze gemacht, dass das Verfahren automatisch die Schlüssigkeit der eingegebenen Daten überprüft. Sämtliche Daten wurden vom Angreifer eingegeben; die erforderliche Prüfung der Antragstellerangaben über das Einwohnermeldeverfahren meldet an das Online-Antragsverfahren zurück, ob die vom Antragsteller eingegebenen Daten gültig sind. Es wurden zu keiner Zeit Daten des Einwohnermeldeverfahrens an den Online-Antragsprozess übertragen. Das Ergebnis der Prüfung der Antragsdaten auf Übereinstimmung mit den Meldedaten ist nicht im Einwohnermeldeverfahren gespeichert; von daher wurden keine Daten aus dem Einwohnermeldeverfahren entwendet. Weiter ist zu bestätigen, dass der Angreifer automatisiert eine Vielzahl variierter Eingaben in den Online-Antrag vorgenommen hat. Er hat dabei weitgehend Daten vorgegeben (Name, Adresse, Geburtsjahr), um die sehr hohe Anzahl sonst notwendiger Abfragen zu reduzieren. Es ist ebenfalls zutreffend, dass die jeweilige Beantragung des Bewohnerparkausweises vom Angreifer nicht abgeschlossen wurde. Die beteiligten Stellen – darunter das Referat Datenschutz und IT-Sicherheit – haben sich darüber abgestimmt, mit welchen Sofortmaßnahmen die Vorgehensweise des Angreifers unterbunden werden kann. Zu den getroffenen Maßnahmen gehört eine Limitierung der Änderungen der Antragstellerdaten. Die getroffenen Maßnahmen können im Einzelfall Komforteinbußen bei der Antragstellung für unbeteiligte Dritte bedeuten. Es findet daher eine weitergehende Abstimmung der beteiligten Stellen über weitere mögliche technische und organisatorische Maßnahmen statt.“

Selbst wenn es sich – rein technisch betrachtet – beim Vorgehen von Markus Drenger um einen „Angriff“ auf die technische Infrastruktur in Sachen Anwohner-Parkausweise gehandelt hat, bleibt festzuhalten:

Herr Drenger

  • hat nicht nachteilig zu Lasten der Stadt Frankfurt und/oder anderer AntragstellerInnen auf Anwohner-Parkausweise manipulativ gehandelt;
  • hat die zuständigen Stellen in Frankfurt, Offenbach und Neu-Isenburg und das kommunale Gebietsrechenzentrum ekom21 über die von ihm entdeckte Schwachstelle in der verwendeten Software informiert;
  • hat dadurch ermöglicht, Korrekturen vorzunehmen bzw. schwachstellen zu beseitigen und
  • hat dafür Dank und Anerkennung der Stadt Frankfurt statt Häme verdient.

Wer auch immer aus dem Magistrat die Frage von Frau Purkhardt beantwortet hat: Diese Antwort ist ein Ausbund an Arroganz, Missachtung demokratischer Partizipation und Verkennung von Ursache und Wirkung.

___________________________________________________________________________________________________

Quelle: @KarstenBeinhorn

Quelle:

Quelle:

Hinterlasse einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*
*