IT-Sicherheit: Diese Menschen entblößen ihr Leben, ohne es zu wissen

Familienfotos, Pornos, Bundeswehr-Interna - solche Daten standen offen im Netz. Ein Fehler reicht, und die Privatsphäre bekommt Löcher.

Herr Maier hatte unverschämtes Glück. Auf seinem Bankkonto liegen immer noch mehrere zehntausend Euro, sein letzter Ebay-Kauf war vor mehr als zwei Jahren, mit seinem Amazon-Konto hat nur er selbst bestellt, und außer ihm hat niemand die E-Mails in seinem Web.de-Postfach gelesen. Herr Maier hatte die Zugänge für insgesamt 47 Online-Dienste unfreiwillig öffentlich gemacht. Kriminelle hätten sein Privatleben ausschnüffeln und ihn finanziell ruinieren können.

Herr Maier heißt wirklich Herr Maier, wohnt in Baden-Württemberg und ist Rentner. Mehr möchte er nicht über sich preisgeben, die Sache ist ihm unangenehm. Sein Sohn habe ihm einen kleinen Server eingerichtet, erzählt er am Telefon, aber das sei Jahre her. Auf der Netzwerkfestplatte speichert Herr Maier Familienfotos, alte Arbeitsdokumente, seine digitalisierten Jazz-Schallplatten - und ein Textdokument mit unverschlüsselten Login-Daten für sämtliche Online-Konten. Darunter Zugänge für sein Giro- und sein Festgeldkonto, Amazon, Ebay, Paypal, drei E-Mail-Accounts und eine Online-Apotheke. Aus deren Bestellhistorie geht hervor, dass Herr Maier an Diabetes leidet und Medikamente für seine rheumatoide Arthritis im Knie benötigt. Die SZ hat keinen der Zugänge selbst ausprobiert, sich aber von Herr Maier deren Echtheit bestätigen lassen.

"Mein Sohn kennt sich doch gut mit Computern aus", sagt Herr Maier. "Jedenfalls habe ich das immer gedacht." Fakt ist: Der Inhalt der gesamten Festplatte stand online und war frei abrufbar. Jeder hätte darauf zugreifen können, ohne ein Passwort eingeben zu müssen. Über Shodan, eine Suchmaschine, die vernetzte Geräte wie Router, Webcams oder Server findet, hat die SZ die Daten von Herrn Maier entdeckt und ihn gewarnt.

Mittlerweile hat er seinen Server besser gesichert und sämtliche Kennwörter geändert, die in dem Dokument standen - aber der Schock bleibt. "Also wenn ich mir vorstelle, was da alles hätte passieren können ... Da wird mir im Nachhinein noch ganz anders."

Eine sichere Alternative zu Dropbox - wenn man keine Fehler macht

Warum Herr Maier unfreiwillig sein gesamtes digitales Leben entblößt hat, lässt sich rückblickend kaum rekonstruieren. Sein Sohn ist mittlerweile in die USA ausgewandert und versichert in einer E-Mail, dass er bei der Einrichtung der Netzwerkfestplatte ein Passwort vergeben und keine unnötigen Ports geöffnet habe, die Einfallstore in ein Heimnetzwerk sein können. Das sind die beiden häufigsten Fehler, die Fremden einen Zugang ins System öffnen können.

Am Router von Herrn Maier hängt ein DS212 von Synology, ein älterer, weit verbreiteter Server für den privaten Gebrauch. Solche Netzwerkspeicher, auch NAS genannt, stehen in Hunderttausenden deutschen Wohn- und Arbeitszimmern. Viele nutzen sie für Backups der Festplatte des Arbeitsrechners oder speichern darauf Fotos und Videos, um von unterwegs auf sie zugreifen zu können. Wer seine Daten keinem großen Cloudanbieter wie Dropbox, Google oder Microsoft anvertrauen will, kann sich ein NAS als private und vermeintlich sichere Alternative einrichten. Doch das funktioniert offenbar nicht immer wie gewünscht.

Sogar ein IT-Spezialist hat geschlampt

Die SZ hat sensible Daten von Dutzenden Menschen in Deutschland gefunden: private Fotos, Videos mit Namen wie "Sexy Blondes Scene 3", Arbeitszeugnisse, Rechnungen, Projektentwürfe eines Architekturbüros und eine umfangreiche Einkommensteuerklärung. Ein Mann aus Ingolstadt hatte insgesamt 32 Zugänge für das Online-Banking und Dienste wie Google, Amazon und Ebay in einem Word-Dokument mit dem eindeutigen Namen "AnbieterBenutzerKennwort.docx" gespeichert. Die Betroffenen verwenden Geräte von großen Herstellern wie Synology, Western Digital, Qnap oder Zyxel. Die Firmen trifft dabei wohl keine Schuld, vermutlich wurden die Fehler von den Nutzern bei der Einrichtung gemacht.

Der Fall von Herrn Maier ist typisch: Mehrere Betroffene haben sich eigenen Aussagen zufolge bei der Einrichtung von Freunden oder Familienangehörigen helfen lassen, die sich nicht mehr genau erinnern, welche Einstellungen sie vorgenommen haben. Der Besitzer eines kleinen Familienunternehmens aus Oberbayern hat sogar extra einen IT-Spezialisten damit beauftragt, da er sich früher "schon Hacker und Viren eingehandelt" habe und diesmal "alles supersicher" sein sollte, wie er sagt.

Bei allen Betroffenen konnte die SZ die Daten über das sogenannte File Transfer Protocol (FTP) abrufen. Das FTP-Protokoll ermöglicht es, über das Internet auf Festplatten zuzugreifen, auch wenn man sich nicht im selben Netzwerk befindet. Firmen und Universitäten nutzen FTP-Server, aber auch private Netzwerkspeicher bieten das Protokoll an. Eigentlich sollte die Übertragung verschlüsselt ablaufen, die Dateien sollten mit Passwörtern geschützt sein. Eigentlich.

Darauf vertraute auch ein Kapitän zur See. Der Offizier im Verteidigungsministerium stellte eine "My Cloud"-Festplatte von Western Digital in seiner Wohnung auf. Er speicherte sein komplettes Leben auf ihr ab, nicht nur das private. Der kleine Heimserver diente ihm als Sicherungskopie seines Computers: Kontoauszüge, Kontakte, Fotos, Daten von Familienmitgliedern, E-Mail-Passwörter und ein Lebenslauf seiner Tochter samt Foto lagen offen im Netz.

Unter den dienstlichen Dokumenten sind eingescannte Truppenausweise der Bundeswehr, Flottenlisten und Ankündigungen von Versetzungen. Sie enthalten die Namen zahlreicher deutscher Soldaten, Details zu Besatzungen deutscher Marine-Boote und Telefonnummern. Außerdem finden sich Abrechnungen, Dienstzeugnisse, ein für Staatssekretäre vorbereitetes Dokument und ein detaillierter Kalender mit Terminen im Verteidigungsministerium. Nichts davon sollte öffentlich sein. Alles war öffentlich.

Am Telefon sagt der Offizier, er wisse, dass die Dateien auf dem Server auch von außen zu erreichen seien - "aber doch nur mit Passwort". Als ihm klar wird, dass er falsch liegt, zieht er noch während des Telefonates den Stecker aus der Festplatte. Details zur Konfiguration möchte er nicht verraten. Es liegt aber nahe, dass der Mann einen Fehler gemacht hat. Western Digital erklärt auf Anfrage, das Problem ohne genauere Informationen nicht analysieren zu können.

Unverständnis, Abwehrreflexe, Gesprächsabbruch - nach diesem Schema verlaufen mehrere der Konfrontationen mit den Betroffenen. Längst nicht alle Dateien und Dokumente enthalten ausreichend Informationen, um den Gerätebesitzer eindeutig zu identifizieren und E-Mail-Adressen oder Telefonnummern herauszufinden. Gelingt das aber erklären die meisten, sicherlich keinen Fehler gemacht zu haben. Manche fordern schriftlich genauere Informationen, melden sich daraufhin nicht mehr und ignorieren weitere Anrufe. Andere verweigern von Anfang an das Gespräch. Der Großteil reagiert zunächst besorgt bis schockiert, ist dann aber dankbar für die Warnung und will das NAS neu konfigurieren, um die eigenen Daten künftig besser zu schützen.

Herr Maier benutzt jetzt einen Passwort-Manager

Das hat auch Herr Maier gemacht. Er hat für alle 47 Webseiten aus dem Word-Dokument neue Kennwörter vergeben und jedes Konto auf verdächtige Zugriffe hin überprüft. "Vermutlich hatte ich mehr Glück als Verstand", sagt er. Allem Anschein nach ist vor der SZ niemand auf die Daten aufmerksam geworden, zumindest niemand mit bösartigen Absichten.

Für wichtige Dienste hat sich Herr Maier nun die sogenannte Zwei-Faktor-Authentifizierung eingerichtet. Zum Einloggen ist jetzt zusätzlich zum Passwort ein zufällig generierter Zahlencode nötig, der per SMS verschickt wird. Die Zugänge aus dem Word-Dokument würden Kriminellen künftig nicht reichen, sie müssten auch noch das Smartphone von Herrn Maier in die Hände bekommen.

Dieses Risiko will er aber ohnehin nicht eingehen. Herr Maier verwendet mittlerweile einen Passwort-Manager, in dem er sämtliche Zugangsdaten speichert. "Jetzt muss ich mir nur noch ein einziges Kennwort merken", sagt er. "In meinem Alter ist das vielleicht auch besser so."