IT-Sicherheit Diese Menschen entblößen ihr Leben, ohne es zu wissen

Die SZ entdeckte Dutzende ungeschützte Server mit privaten Dokumenten - zum Beispiel einem eingescannten Personalausweis.

(Foto: SZ)

Familienfotos, Pornos, Bundeswehr-Interna - solche Daten standen offen im Netz. Ein Fehler reicht, und die Privatsphäre bekommt Löcher.

Von Johannes Boie, Catharina Felke und Simon Hurtz
1616

Best of SZ.de 2016 - immer zum Jahresende sammeln wir die Lieblingsgeschichten der Redaktion, die am häufigsten von Lesern weiterempfohlen wurden. Diese Geschichte ist eine von ihnen. Alle lesen...

Herr Maier hatte unverschämtes Glück. Auf seinem Bankkonto liegen immer noch mehrere zehntausend Euro, sein letzter Ebay-Kauf war vor mehr als zwei Jahren, mit seinem Amazon-Konto hat nur er selbst bestellt, und außer ihm hat niemand die E-Mails in seinem Web.de-Postfach gelesen. Herr Maier hatte die Zugänge für insgesamt 47 Online-Dienste unfreiwillig öffentlich gemacht. Kriminelle hätten sein Privatleben ausschnüffeln und ihn finanziell ruinieren können.

Herr Maier heißt wirklich Herr Maier, wohnt in Baden-Württemberg und ist Rentner. Mehr möchte er nicht über sich preisgeben, die Sache ist ihm unangenehm. Sein Sohn habe ihm einen kleinen Server eingerichtet, erzählt er am Telefon, aber das sei Jahre her. Auf der Netzwerkfestplatte speichert Herr Maier Familienfotos, alte Arbeitsdokumente, seine digitalisierten Jazz-Schallplatten - und ein Textdokument mit unverschlüsselten Login-Daten für sämtliche Online-Konten. Darunter Zugänge für sein Giro- und sein Festgeldkonto, Amazon, Ebay, Paypal, drei E-Mail-Accounts und eine Online-Apotheke. Aus deren Bestellhistorie geht hervor, dass Herr Maier an Diabetes leidet und Medikamente für seine rheumatoide Arthritis im Knie benötigt. Die SZ hat keinen der Zugänge selbst ausprobiert, sich aber von Herr Maier deren Echtheit bestätigen lassen.

"Mein Sohn kennt sich doch gut mit Computern aus", sagt Herr Maier. "Jedenfalls habe ich das immer gedacht." Fakt ist: Der Inhalt der gesamten Festplatte stand online und war frei abrufbar. Jeder hätte darauf zugreifen können, ohne ein Passwort eingeben zu müssen. Über Shodan, eine Suchmaschine, die vernetzte Geräte wie Router, Webcams oder Server findet, hat die SZ die Daten von Herrn Maier entdeckt und ihn gewarnt.

Mittlerweile hat er seinen Server besser gesichert und sämtliche Kennwörter geändert, die in dem Dokument standen - aber der Schock bleibt. "Also wenn ich mir vorstelle, was da alles hätte passieren können ... Da wird mir im Nachhinein noch ganz anders."

Eine sichere Alternative zu Dropbox - wenn man keine Fehler macht

Warum Herr Maier unfreiwillig sein gesamtes digitales Leben entblößt hat, lässt sich rückblickend kaum rekonstruieren. Sein Sohn ist mittlerweile in die USA ausgewandert und versichert in einer E-Mail, dass er bei der Einrichtung der Netzwerkfestplatte ein Passwort vergeben und keine unnötigen Ports geöffnet habe, die Einfallstore in ein Heimnetzwerk sein können. Das sind die beiden häufigsten Fehler, die Fremden einen Zugang ins System öffnen können.

Am Router von Herrn Maier hängt ein DS212 von Synology, ein älterer, weit verbreiteter Server für den privaten Gebrauch. Solche Netzwerkspeicher, auch NAS genannt, stehen in Hunderttausenden deutschen Wohn- und Arbeitszimmern. Viele nutzen sie für Backups der Festplatte des Arbeitsrechners oder speichern darauf Fotos und Videos, um von unterwegs auf sie zugreifen zu können. Wer seine Daten keinem großen Cloudanbieter wie Dropbox, Google oder Microsoft anvertrauen will, kann sich ein NAS als private und vermeintlich sichere Alternative einrichten. Doch das funktioniert offenbar nicht immer wie gewünscht.

Sogar ein IT-Spezialist hat geschlampt

Die SZ hat sensible Daten von Dutzenden Menschen in Deutschland gefunden: private Fotos, Videos mit Namen wie "Sexy Blondes Scene 3", Arbeitszeugnisse, Rechnungen, Projektentwürfe eines Architekturbüros und eine umfangreiche Einkommensteuerklärung. Ein Mann aus Ingolstadt hatte insgesamt 32 Zugänge für das Online-Banking und Dienste wie Google, Amazon und Ebay in einem Word-Dokument mit dem eindeutigen Namen "AnbieterBenutzerKennwort.docx" gespeichert. Die Betroffenen verwenden Geräte von großen Herstellern wie Synology, Western Digital, Qnap oder Zyxel. Die Firmen trifft dabei wohl keine Schuld, vermutlich wurden die Fehler von den Nutzern bei der Einrichtung gemacht.

Der Fall von Herrn Maier ist typisch: Mehrere Betroffene haben sich eigenen Aussagen zufolge bei der Einrichtung von Freunden oder Familienangehörigen helfen lassen, die sich nicht mehr genau erinnern, welche Einstellungen sie vorgenommen haben. Der Besitzer eines kleinen Familienunternehmens aus Oberbayern hat sogar extra einen IT-Spezialisten damit beauftragt, da er sich früher "schon Hacker und Viren eingehandelt" habe und diesmal "alles supersicher" sein sollte, wie er sagt.