Anwohner-Parkschild, Markus Drenger vom Chaos Computer Club
Markus Drenger vom Darmstädter Chaos Computer Club hat eine gravierende Sicherheitslücke in einer Software für Anträge auf Anwohnerparken aufgedeckt. Bild © picture-alliance/dpa / privat

"Der Online-Service ist vorübergehend nicht verfügbar." Das steht jetzt dort, wo man für Frankfurt, Offenbach und Neu-Isenburg kürzlich noch online einen Anwohner-Parkausweis beantragen konnte. Schuld ist nach hessenschau-Recherchen eine Datenschutzpanne.

Videobeitrag

Video

zum Video Sicherheitslücke bei kommunalem Online-Service

Ende des Videobeitrags

Als Markus Drenger feststellt, welche Sicherheitslücke er bei einer kommunalen Software entdeckt hat, ist er ziemlich überrascht. "Die können doch nicht so einen Fehler gemacht haben", denkt sich der Experte des Darmstädter Chaos Computer Clubs. Die Städte Frankfurt, Offenbach und Neu-Isenburg hatten ihren Einwohnern über eine Online-Plattform angeboten, Anwohner-Parkausweise online zu beantragen. Die Sicherheit dieser Software wollte Drenger prüfen.

Auf der Seite der Stadt Frankfurt füllt er den Online-Antrag aus und bekommt jeweils eine Meldung, ob Adresse und Geburtsdatum richtig sind. Das macht Drenger stutzig.

Die Software gleicht die Angaben mit den Daten des Einwohnermeldeamts ab. Das ermöglicht allerdings Missbrauch: Denn mit etwas Fleißarbeit oder einem Programm, das automatisch mögliche Geburtsdaten durchgeht, kommt irgendwann eine positive Meldung - eine Sperre bei häufigen Fehlversuchen gibt es nicht.

Einfallstor für Datenmissbrauch

Als Drenger die Sicherheitslücke durchschaut hat, wendet er sich an die hessenschau, um die Panne öffentlich zu machen. "Das ist eine Preisgabe von Daten, die eigentlich nicht passieren darf“, sagt Markus Drenger. Mit Adresse und Geburtsdaten können nicht nur Anwohner-Parkausweise beantragt, sondern auch Online-Einkäufe erledigt werden. "Vielleicht fehlt da einfach an den wichtigen Stellen das Bewusstsein für Datenschutz", vermutet der Computerspezialist.

Videobeitrag

Video

zum Video Kommunen - Sicherheitslücken im digitalen Service

Ende des Videobeitrags

"Wo Menschen am Werk sind, gibt es immer das Risiko, dass auch mal was schief geht“, sagt Ulrich Künkel, Direktor des verantwortlichen IT-Dienstleisters ekom21, auf Nachfrage und räumt ein: Die Anwendung sei zwar auf ihre Sicherheit geprüft worden, an einen möglichen Missbrauch durch Nutzer habe die Firma aber nicht gedacht. Für den Hinweis des Chaos Computer Clubs sei er dankbar.

Zuvor schon Panne bei Wahl-Software

An der Kompetenz seiner Mitarbeiter zweifelt Künkel nicht. Das Unternehmen habe etwa 500 Kunden und manage eine Vielzahl von Kundendaten. Allerdings war ekom21 erst im September 2017 mit Sicherheitslücken aufgefallen. Damals ging es um die Software "PC-Wahl", die Ergebnisse an die hessischen Wahlleiter übermittelt. Aufgedeckt hatte auch diese Panne ein externer Computerspezialist: ein Informatikstudent aus Darmstadt.

Ulrike Müller, Sprecherin des Hessischen Datenschutzbeauftragten
Ulrike Müller, Sprecherin des Hessischen Datenschutzbeauftragten Bild © hr

Die Sprecherin des Hessischen Datenschutzbeauftragten, Ulrike Müller, erkennt in der aktuellen Panne strukturelle Probleme. Das hänge mit der fortschreitenden Digitalisierung von Behördenleistungen zusammen. Und Müller rechnet mit weiteren Sicherheitslücken: "So etwas wird immer wieder vorkommen."

"Nächstes Mal besser machen"

Mittlerweile haben die betroffenen Städte den digitalen Antrag für Anwohner-Parkausweises vom Netz genommen. Zurzeit suchen die Kommunen gemeinsam mit ekom21 noch nach einer sicheren Lösung. Denkbar ist zum Beispiel die Einrichtung eines Nutzerkontos, um Zugriff auf die digitalen Dienstleistungen zu bekommen. Frankfurt stellte in Aussicht, den Service im Laufe des Freitags wieder anzubieten, Offenbach in der kommenden Woche.

Markus Drenger vom Darmstädter Chaos Computer Club geht es nicht darum, Unternehmen durch seine Prüfung kostenlose Dienstleistungen anzubieten. Ihm sei wichtig, "dass man daraus lernt und fürs nächste Mal die Dinge besser macht."