IT-Sicherheit "DuMont"-Tageszeitungen kämpfen mit Datenleck

Die Webauftritte von "Kölner Stadtanzeiger", "Express" und anderen "DuMont"-Blättern waren über Stunden nicht erreichbar, offenbar sind persönliche Daten ins Netz gelangt. Nutzer sollten so schnell wie möglich ihre Passwörter überprüfen.

Die Mediengruppe "DuMont" kämpft mit einem Sicherheitsproblem auf ihren Webseiten, das möglicherweise Tausende Nutzer betrifft. Die Internetangebote des Kölner Stadtanzeigers, der Kölnischen Rundschau, des Express, der Hamburger Morgenpost sowie weitere Angebote des Verlags waren am Sonntag mehrere Stunden nicht erreichbar. Zuvor war im Internet ein Link auf einen "DuMont"-Server aufgetaucht, der es ermöglichte, persönliche Daten von Nutzern der Portale abzugreifen. Unter anderem waren hunderte Scans von Studentenausweisen einsehbar sowie vermutlich Passwörter und E-Mail-Adressen von Abonnenten.

In einer Mitteilung erklärte DuMont, die digitalen Angebote seien "offenbar Opfer eines Hacker-Angriffs geworden". Wahrscheinlich habe es einen Zugriff Dritter auf Serverdaten gegeben, betroffene Systeme seien aus Sicherheitsgründen abgeschaltet worden, "um die Konsequenzen des Eingriffs analysieren zu können".

Passwörter womöglich unverschlüsselt abgespeichert

Sicherheitsexperten zeigten sich skeptisch, was diese Darstellung anbelangt. Beim verwendeten Server, von dem aus die Abonnenten verwaltet wurden, sei eine elementare Sicherheitsvorkehrung nicht getroffen worden, berichtete das IT-Portal Crumbling Walls. So war es mithilfe einer Webadresse wohl möglich, den gesamten Inhalt des Servers anzuzeigen. Die dort abgespeicherten Passwörter und E-Mail-Adressen seien zudem im Klartext abgespeichert gewesen. Diese Information wollte ein DuMont-Sprecher gegenüber Süddeutsche.de nicht bestätigen - man analysiere den Vorgang bislang noch. Crumbling Walls sprach hingegen von einem "Tag der offenen Tür". Alle DuMont-Nutzer, die für ihren Zugang ihr Email-Passwort nutzen, sollten dieses also schnellstmöglich ändern, empfiehlt der Blog. DuMont will im Laufe des Sonntags die Nutzer persönlich über das Datenproblem informieren.

Mit dem Datenleck könnten rechtliche Probleme auf DuMont zukommen. In Richtlinien des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist klar geregelt: "Die Passwörter müssen im System zugriffssicher gespeichert werden, z. B. mittels Einweg-Verschlüsselung". Sollte der Vorwurf zutreffen, dass diese Maßnahme bei DuMont nicht erfolgte, könnten Landesdatenschutzbeauftragte Bußgelder verhängen, berichtet die Welt.

Auf sozialen Netzwerken ist der Schaden ohnehin bereits angerichtet. Zahlreiche Leser beschwerten sich auf den Facebookseiten der Tageszeitungen über die Informationspolitik des Verlags und die aus ihrer Sicht unzureichenden Sicherheitsvorkehrungen.