Adressen, E-Mails, Kreditkartennummern. Es gibt fast nichts, was Menschen und Unternehmen nicht unbedarft auf Datenbanken im Internet abspeichern. Sicher ist es dort nicht. Drei Erstsemester-Studenten der Cybersicherheit an der Uni Saarbrücken stießen im Netz auf fast 40 000 ungesicherte Datenbanken. "Über jede hatten die Studenten Zugriff auf mehrere Millionen Kundendaten", sagt Stefan Nürnberger, Forscher am Kompetenzzentrum für IT-Sicherheit (Cispa).
Stichprobenartig haben sich die Studenten Kai Greshake, Eric Petryka und Jens Heyens nur zwei Datenbanken genauer angeschaut und kamen zu der Erkenntnis, dass die Daten wohl nicht für die Öffentlichkeit bestimmt sein könnten. "Allein in diesen zwei Stichproben fanden sich Millionen von Kundendaten", sagt Nürnberger.
Am meisten habe die Studenten die Datenbank eines börsennotierten französischen Anbieters von Mobiltelefonie und Internetdiensten erschreckt: Sie enthielt Adressen und Telefonnummern von rund acht Millionen Franzosen. Die Namen des Unternehmens will die Universität nicht nennen, genauso wenig wie den Namen eines deutschen Onlinehändlers, der frei Haus auch noch die kompletten Zahlungsinformationen seiner Kunden lieferte.
Fehlerhafte Einstellungen in der Open-Source-Datenbank MongoDB
"Die Daten reichen aus, um Identitätsdiebstähle durchzuführen", sagte Cispa-Direktor Michael Backes: "Die geschädigten Kunden ärgern sich oft noch Jahre mit Verträgen herum, die die Datendiebe unter ihrem Namen geschlossen haben." Über die restlichen Datenbanken lasse sich nur spekulieren, auch sie dürften Millionen sensible Daten preisgeben.
Auf das Leck sind die Studenten fast zufällig gestoßen. Sie hätten eigentlich nur "Mathe-Hausaufgaben" machen wollen. Um gemeinsam über das Internet an ihrer Hausarbeit zu arbeiten, hätten sie sich "eine kleine Software" geschrieben. Zwar lassen sich beispielsweise auch über Dienste wie Google Drive im Internet Dokumente teilen, aber der Gedanke, dass ihre Hausarbeit auf einer Datenbank von Google gespeichert würde, sei den Studenten eher unangenehm gewesen, berichtete Nürnberger. Eine Datenbank brauchten sie allerdings auch. Sie entschieden sich für MongoDB, eine kostenlose Open-Source-Datenbank, die in Deutschland mit dem Slogan wirbt: "Datenverwaltung neu erfunden. Werden sie agiler und skalierbarer."
"Solange die Datenbank nur auf dem eigenen Rechner genutzt wird, ist das kein Problem", so Nürnberger. Kritisch werde es dann, wenn mehrere Nutzer, wie von den Studenten für die Hausarbeit angestrebt, über das Internet Zugriff auf die Datenbank haben sollen. "Das geht relativ einfach", sagt Nürnberger: "Nur: die meisten Nutzer versäumen es, die Benutzer zu definieren und ihnen ein Passwort zuzuschreiben." Geschieht das nicht, ist alles offen.
Nachdem ihnen dieses Problem bei ihrer eigenen Datenbank aufgefallen war, scannten die drei Studenten aus Saarbrücken unter Aufsicht des Cispa insgesamt vier Milliarden IP-Adressen und stießen auf 39 890 offene, weil falsch konfigurierte Datenbanken. "Sie konnten nicht nur die Daten abrufen, sondern auch verändern", sagt Nürnberger: "Das ist kein Hacking, das ist so, als würde man eine interne Telefonnummer freiwillig an die Öffentlichkeit geben." Das Cispa hat inzwischen die internationale Koordinationsstelle für IT-Sicherheit, Certs, die französischen und deutschen Datenschutzbehörden und den Anbieter von MongoDB informiert.