Sorglose Anwender 11.02.2015, 11:17 Uhr

Studenten finden 40.000 ungesicherte Datenbanken im Netz

Hacken? Spionieren? Gar nicht nötig. Drei Saarbrücker Studenten haben fast 40.000 Datenbanken im Internet gefunden, die ohne jede Sicherung betrieben wurden – unter anderem bei Online-Shops. Persönliche Daten bis hin zur Kreditkartennummer konnten sie nicht nur einsehen, sondern sogar manipulieren. Der Fehler liegt offenbar nicht primär beim Anbieter der Open-Source-Software, sondern bei allzu sorglosen Anwendern.

Saarbrücker Studenten haben knapp 40.000 ungesicherte Datenbanken im Web entdeckt, über die Namen, Adressen, E-Mails und Kreditkartennummern der Nutzer abgerufen werden können.

Saarbrücker Studenten haben knapp 40.000 ungesicherte Datenbanken im Web entdeckt, über die Namen, Adressen, E-Mails und Kreditkartennummern der Nutzer abgerufen werden können.

Foto: Jens Wolf/dpa

Eigentlich wollten die drei Informatik-Studenten Kai Greshake, Eric Petryka und Jens Heyens nur eine kostenlose Online-Datenbank finden, um Informationen für eine gemeinsame Hausarbeit problemlos teilen zu können. Besonders praktisch und einfach erschien ihnen MongoDB, eine beliebte Open-Source-Software. Um sie zu testen, fahndeten sie über eine bekannte Suchmaschine nach MongoDB-Servern. So fanden sie die IP-Adressen, unter denen die Datenbanken liefen.  Sie riefen ein paar dieser Adressen auf. Und dann riefen sie Ende Januar schnell mal ihren Professor an.

Der staunte mit ihnen. Denn die Datenbanken hatten keinerlei Sicherung, die drei Besucher erhielten sogar Administratorenrechte, ohne irgendein Passwort zu brauchen. Nutzerdaten wie Namen, Adressen, sogar Kreditkartennummern waren frei zugänglich.

Fehler auch bei großem Unternehmen

Als Ursache ermittelten die Experten einen Fehler bei der Konfiguration der Datenbanken. „Der ist nicht kompliziert, seine Wirkung ist jedoch katastrophal“, sagt Michael Backes, Professor für Informationssicherheit und Kryptografie an der Universität des Saarlandes. Er ist zugleich Direktor des Saarbrücker Kompetenzzentrums für IT-Sicherheit (CISPA).

Die drei Studenten Kai Greshake, Eric Petryka und Jens Heyens (v.l.) stießen eher zufällig auf die gewaltige Sicherheitslücke in vielen Datenbanken. 

Die drei Studenten Kai Greshake, Eric Petryka und Jens Heyens (v.l.) stießen eher zufällig auf die gewaltige Sicherheitslücke in vielen Datenbanken. 

Foto: Universität des Saarlandes

Mit IT-Sicherheit hatte das, was da vor ihnen lag, aber so gar nichts zu tun. Und den entscheidenden kleinen Fehler machten nicht nur private Nutzer, die vielleicht wenig Ahnung haben. Millionen von Online-Shops und Plattformen weltweit böten über MongoDB ihre Dienste an, sagt Backes. Und bei fast 40.000 davon seien die Daten ungesichert gewesen – darunter auch ein großer französischer Mobilfunk- und Internetanbieter, bei dem die Tester nach eigenen Angaben rund acht Millionen Kundendaten einsehen konnten. Eine halbe Million davon seien deutsche Nutzer gewesen.

Hersteller soll Anleitung überarbeiten

Auch die Datenbank eines deutschen Online-Händlers sei ungesichert gewesen, einschließlich der Zahlungsinformationen. „Die darin gespeicherten Daten reichen aus, um Identitätsdiebstähle durchzuführen. Selbst wenn diese bekannt werden, plagen sich die betroffenen Personen noch Jahre danach mit Problemen wie beispielsweise Verträgen, die Betrüger in ihrem Namen abgeschlossen haben“, sagt Backes.

„Halten sich die Betreiber bei der Installation blind an die Leitfäden und bedenken nicht entscheidende Details, stehen die Daten schutzlos im Internet“, erklärt das Institut. Der Fehler liegt also primär beim Anwender – dennoch hat das CISPA den Hersteller dringend aufgefordert, seine Bedienungsanleitung zu überarbeiten. Eine Warnung vor dem Problem sucht man auf dessen Homepage bislang allerdings vergebens.

Top Stellenangebote

Infineon Technologies AG-Firmenlogo
Infineon Technologies AG Berechnungsingenieur FEM - Strukturmechanik und Thermik (w/m) Warstein
Landeshauptstadt München Ingenieur/in der Fachrichtung Versorgungstechnik / Gebäudetechnik München
Fresenius Medical Care Deutschland GmbH-Firmenlogo
Fresenius Medical Care Deutschland GmbH Director Supplier Quality Management EMEA (m/w) Bad Homburg
Bayernhafen GmbH & Co. KG-Firmenlogo
Bayernhafen GmbH & Co. KG Bauingenieur (m/w) Schwerpunkt Bahnbau / Tiefbau Regensburg
Fresenius Medical Care Deutschland GmbH-Firmenlogo
Fresenius Medical Care Deutschland GmbH Projektingenieur Maschinenbau (m/w) St. Wendel
Fresenius Medical Care Deutschland GmbH-Firmenlogo
Fresenius Medical Care Deutschland GmbH Projektingenieur Verfahrenstechnik (m/w) St. Wendel
Fresenius Medical Care Deutschland GmbH-Firmenlogo
Fresenius Medical Care Deutschland GmbH Projektingenieur Elektrotechnik (m/w) St. Wendel
Heraeus-Firmenlogo
Heraeus Global Engineering Coordinator (m/w) Kleinostheim
P&A Diplom-Ingenieur (Bau) / Master für Statik/Konstruktion (m/w) Eisenach, Hörselberg-Hainich, Gerstungen, Gotha, Mühlhausen
VISHAY ELECTRONIC GmbH-Firmenlogo
VISHAY ELECTRONIC GmbH Product Marketing Engineer (m/w) Landshut, Selb