Daten-Desaster bei der IHK Reutlingen

Als Geschäftsführer eines kleinen Unternehmens erhalte ich gelegentlich Post von der IHK. Die IHK ist eine “Berufsständische Körperschaft des öffentlichen Rechts”, ähnlich der Handwerks- oder Ärztekammer, die als eine Art Selbstverwaltung der regionalen Wortschaft fungieren soll. Da die Mitgliedschaft nicht freiwillig ist, Geld kostet und sich nicht jeder Gewerbebetrieb von der IHK vertreten fühlt, gibt es an dieser Regelung durchaus Kritik.

Wir gehören der IHK Reutlingen an, erhalten von dieser ein monatliches Magazin, gelegentlich Einladungen zu Empfängen oder Fortbildungen und manchmal Umfragen zu Themen, die für die regionale Wirtschaft nach Meinung der IHK von Bedeutung sind. Üblicherweise beteilige ich mich nicht an solchen Umfragen, kann den Sinn dahinter aber durchaus erkennen, und finde es eigentlich auch gut, dass meine Meinung dazu beitragen kann, strukturelle Veränderungen in der Region mit zu beeinflussen.

Umfrage

Derzeit veranstaltet die IHK Reutlingen eine Umfrage zum Thema “Breitband-Versorgung in der Region”. Auf der Postkarte, die wir als Mitglied von ihr dazu erhielten, begründet die IHK deren Notwendigkeit wie folgt:

“Eine schnelle Internetverbindung ist für Unternehmen enorm wichtig. Doch längst nicht alle Firmen in der Region verfügen über einen solchen Anschluss. Die IHK Reutlingen will im Gespräch mit Politik und Verwaltung auf lokaler und auf Landesebene auf Lücken im Netz hinweisen und sich dabei für eine flächendeckende Versorgung mit Breitband einsetzen.
Aus diesem Grund führen wir eine Befragung aller Unternehmen in den Landkreisen Reutlingen, Tübingen und Zollernalb durch.”

Beigefügt war ein Link zur Online-Befragung und eine Zugangsnummer, die eine Teilnahme ermöglichen sollte:

Ob die Umfrage anonym sein sollte oder nicht, ging aus diesen Unterlagen nicht hervor. Da mich das Thema interessiert, rief ich den entsprechenden Link trotzdem auf und landete nach einem Zwischenschritt auf der IHK-Seite bei folgender Eingabemaske:

Zwar hieß es hier “Mitgliedsnummer” und nicht mehr “Zugangsnummer”, aber über solche Ungenauigkeiten schaut man heutzutage eher hinweg. Was mich hingegen wunderte war, dass nur eine einfache fünfstellige Zahl gefragt war. Keine Klein- und Großbuchstaben, keine Sonderzeichen, nur fünf Ziffern. Und keine weiteren Nachfragen, etwa den Namen des Unternehmens, was immerhin belegt hätte, dass die Umfrage nicht anonym wäre.

Die acht Fragen und das Dankeschön am Ende entsprachen in etwa dem, was man von einer solche Umfrage erwarten konnte.




Außer dem irritierenden Umstand vielleicht, dass man die 2. Frage nur gestellt bekam, wenn man bei der ersten mit “nein” antwortete. Aber geschenkt.

Recherche

Was mich mehr beschäftigte, war die Sache mit den fünf Ziffern. Die IHK würde doch keine Umfrage durchführen, bei der man nur nach einer fünfstelligen Zahl gefragt wurde, um daran teilnehmen zu können?

So etwas lässt sich einfach ausprobieren.

Nach fünf Versuchen hatte ich den ersten Treffer. Es gab auch keine Sperre nach den ersten drei erfolglosen Versuchen. Es gab überhaupt keine Sperre. Nach weiteren circa vierzig Versuchen hatte ich zehn Nummern gefunden, unter denen man an der Umfrage teilnehmen konnte. Was ich natürlich nicht tat. Wer weiß, ob so etwas vielleicht strafbar ist.*

Jetzt interessierte mich etwas anderes: Konnte ich meine eigene Umfrage – und damit anscheinend auch andere – einsehen? Ich rief den Link nochmal auf, gab meine Nummer ein und fand meine bereits gegebenen Antworten. Das ist ungewöhnlich für solche Befragungen. Üblicherweise wird der Zugang nach dem Ausfüllen einfach gesperrt.

Aber noch besser: Ich konnte meine Antworten auch wieder ändern. Sollte das etwa heißen, dass ich dann auch die Umfrageergebnisse von anderen Teilnehmern ändern könnte? Ich konnte mir nicht vorstellen, dass bei der IHK ein solches Verfahren durchginge. Vielleicht lag es daran, dass ich alles vom selben Rechner aus gemacht hatte, dass die Ergebnisse also nur lokal im Cache lagen?

Es gab einen einfachen Weg, dies herauszufinden.

Wir haben eine zweite Firma im Haus, die unter eigener Firmierung läuft und daher auch ein Schreiben von der IHK mit einem eigenen Zugangscode bekommen haben musste. Sie besitzt außerdem einen getrennten Internetzugang. Ich ging also zum Chef dieser Firma und fragte, ob auch er dieses Schreiben bekommen habe. Als er bejahte, bat ich ihn, die Umfrage auszufüllen, sobald ich wieder gegangen sei, und deutete an, ich könne anschließend wiederholen, was er eingegeben habe. Er war verdutzt, füllte aber alles aus und kam danach zu mir. Ich gab seine Zugangsnummer ein und – abrakadabra! – erhielt alles von ihm Eingegebene auf meinen Bildschirm. Aber nicht nur das: Ich konnte die Daten auch wieder ändern.

Wer sich nur ein bisschen mit Programmieren auskennt, der weiß, dass sich leicht ein Skript schreiben lässt, das so etwas automatisch macht. Da es keinerlei Zugangsschutz gibt, könnten nicht nur sämtliche Ergebnisse manipuliert werden; die IHK würde dies nicht einmal merken.

Kurz: Ein Desaster.

Kontakt

Also griff ich zum Hörer und rief bei der IHK an. Praktischerweise erwischte ich gleich den für die Aktion Verantwortlichen. Er gab sich zerknirscht – allerdings aus einem anderen Grund als ich dachte. Hier das Gesprächsprotokoll:**

IHK: Ach, kommen sie auch nicht rein mit Ihrer Nummer? Da haben schon ein paar angerufen deswegen.
Ich: Äh. Nein. Ganz im Gegenteil. Ich komme gleich mehrfach rein.
IHK: Wie das denn?
Ich: Ich habe einfach mal ein paar Nummern ausprobiert und einige gefunden, die passten.
IHK: Das ist aber schlecht.
Ich: Ja.

Der IHK-Projektmanager ist sehr freundlich und versteht das Problem durchaus. Ich erkläre ihm, dass meiner Meinung nach mehr als nur eine Sache falsch gelaufen sei. Dass es zum Beispiel nicht gut sei, dass man endlos oft probieren könne, bis man eine passende Nummer gefunden habe. Und dass es überhaupt nur eine fünfstellige Nummer gebe, die ja leicht zu erraten sei.

Ich: Oder gibt es auch sechsstellige Nummern? Und wieviele Nummern sind denn überhaupt im Umlauf?
IHK: Ha, das sind halt die Mitgliedsnummern der Betriebe.

Die Mitgliedsnummern der Betriebe. Jetzt war mir auch klar, worüber ich zu Anfang gestolpert war. Die Mitgliedsnummern der Betriebe.

Ich: Sie wissen aber schon, dass das gefährlich ist?
IHK: Naja, man rechnet ja nicht unbedingt mit so viel krimineller Energie.
Ich: [sprachlos]
IHK: Ich werde da mal mit unserem Dienstleister reden.
Ich: Den würde ich eher wechseln.
IHK: Das ist auch unsere erste Zusammenarbeit.
Ich: Das kann ich mir vorstellen.
IHK: Also ich habe mir auch einen Testaccount anlegen lassen, und da hat alles funktioniert.
Ich: Aha.

Ich weise nochmal darauf hin, dass es problemlos möglich sei, mit einem einfachen Skript alle verwendbaren Nummern herauszufiltern und die Umfrage so manipulieren zu können. Auch wenn dies niemand täte, wäre doch das Ergebnis der Umfrage angreifbar.

IHK: Ja, da kann man wahrscheinlich nichts machen. Ich rede mal mit dem Dienstleister, was man da machen kann.
Ich: Könnten Sie mir bitte Bescheid geben, was dabei rauskommt und was dann unternommen wird?
IHK: Ja, klar. Gerne.

Ich sage ihm nochmal, wer ich bin, welches Mitgliedsunternehmen ich vertrete, meine E-Mail-Adresse, und er verspricht, sich wieder zu melden.

Beim Mittagessen diskutierten wir die Sache. Mit etwas “krimineller Energie” fanden wir beim Italiener etliche praktische Anwendungsbeispiele für diese Lücke heraus.

  • Man kann die komplette Umfrage manipulieren. Hätte ich – zum Beispiel als Netzanbieter – ein spezielles Interesse daran, könnte ich das Ergebnis in meinem Sinn gestalten.
  • Man kann alle eingegebenen Werte auslesen und auswerten. Man hätte einen hervorragenden Überblick über den Zustand des Netzausbaus in der Region, aber auch über die Wünsche der Unternehmen dazu. Geldwerte Informationen für Unternehmen aus der Branche.
  • Man kann herausfinden, welche und wieviele Mitgliedsnummern bei der IHK Reutlingen aktuell geführt werden.
  • Sollte jemand die Mitgliedsnummern einzelnen Unternehmen zuordnen können, wäre es sogar möglich, die Eingaben jedes einzelnen Unternehmens in Erfahrung zu bringen. Eine Menge Informationen, die für den Vertrieb jedes Netzanbieters äußerst wertvoll sind.

Der letzte Punkt ließ mich dann nochmals stutzig werden. Denn wer diese Zuordnung auf jeden Fall vornehmen kann, ist die IHK selbst. Das heißt, die IHK weiß mit den vorliegenden Informationen von jedem teilnehmendem Mitgliedsunternehmen, was es zur Breitband-Versorgung in der Region zu sagen hat, mit welcher Geschwindigkeit dort momentan gesurft und wieviel dafür bezahlt wird. Zwar wird nirgendwo behauptet, dass die Befragung anonym sei, suggeriert wird dies hingegen schon. Denn nirgendwo taucht der Name des Unternehmens auf und wohl selten wird derjenige, der die Umfrage ausfüllt, seine Mitgliedsnummer bei der IHK kennen.

Fazit

Ich sehe in diesem Daten-Desaster der IHK Reutlingen drei (Nachtrag: oh, vier!) wesentliche Problemfelder, die teilweise auch strukturelle Schwachpunkte öffentlicher oder halböffentlicher Stellen sein mögen, was die Sache aber nicht besser macht.

1. Unzureichender Datenschutz
Selbst wenn kritische Daten prinzipiell gut gesichert sein sollten: Dieser Schutz wird leicht durch einzelne Aktionen ausgehebelt, wo solche Daten einfach kopiert und in anderen Zusammenhängen verwendet werden. Vielleicht hat nur ein unbedarfter Mitarbeiter gedacht, clever zu handeln, wenn er Mitgliedsnummern als eindeutige Zugangscodes verwendet. In der Praxis ist das ein Daten-GAU, der nicht passieren darf.

2. Inkompetenz
Es ist nichts dagegen einzuwenden, wenn Aufgaben, die man selbst nicht leisten kann, delegiert werden. Dann muss aber wenigstens die Auswahl des Dienstleisters kompetent durchgeführt werden. Hier wurde offensichtlich jemand beauftragt, der weder den Schutz der Daten gewährleisten kann, noch überhaupt in der Lage ist, die ihm gestellte Aufgabe zu erfüllen. Für mich sieht das nach einer allenfalls semiprofessionell durchgeführten Befragung aus, die keinerlei Schutz vor Einsicht oder Manipulation bietet und an der nicht einmal alle gewünschten Probanden teilnehmen können***. Darüber hinaus handelt es sich um eine ausländische Firma****, und auch der Server, auf dem die Befragung durchgeführt wird, läuft unter schwedischer Domain. Man mag die naheliegende Frage, ob es nicht vielleicht ein IHK-Mitgliedsunternehmen gegeben hätte, das eine solche Umfrage besser hätte durchführen können, gar nicht stellen, so naheliegend ist sie.

3. Intransparenz
Hier wird eine Aktion durchgeführt, bei der unklar ist, auf welcher Basis sie stattfindet, welche Informationen dabei übermittelt werden und was mit diesen geschieht. Die Mitgliedsunternehmen müssen so das Gefühl erhalten, nicht für voll genommen, oder noch schlimmer: nur als Stimmvieh benutzt zu werden. Transparente Kommunikation sieht anders aus. Bei Umfragen ist es doch elementar zu wissen, ob ich meine Daten anonym übermittle oder ob irgend jemand zurückverfolgen kann, was ich eingegeben habe. Nur wenn ich das sicher weiß, kann ich entscheiden, ob ich an einer solchen Befragung überhaupt teilnehmen möchte. Es entsteht hier aber ein noch viel schlimmerer Eindruck: Dass nämlich vertuscht werden soll, dass hier sensible, private Daten erhoben werden. Oder warum verwendet die IHK die Mitgliedsnummern ihrer Betriebe, wenn sie sie nachher gar nicht zuordnen will? Sonst hätte sie ja irgendwelche beliebigen Ziffern- und Buchstabenfolgen nehmen können, die ja auch sicherer gewesen wären. Bösartig könnte man auch fragen: Wer profitiert davon?

4. Ignoranz
Wir erhielten das Anschreiben der IHK am Donnerstag. Ich rief dort sofort an, als mir das Ausmaß des Desasters klar wurde. Heute ist Montag, und die Umfrage ist immer noch online und offen wie ein Scheunentor. Ich habe bislang weder einen Rückruf noch eine Mail erhalten, wie jetzt weiter vorgegangen wird. Wer eine erkannte Sicherheitslücke nicht beseitigt, handelt nicht nur ignorant gegenüber dem einzelnen Unternehmen, das auf diese Gefahr hinweist, sondern auch gegenüber allen Mitgliedsunternehmen, die diese Umfrage mit ihren Beiträgen finanzieren.

Das macht mich sauer.

Nachtrag (18.10., 16:46 Uhr)
Zweieinhalb Stunden, nachdem dieser Beitrag online ging, klingelte das Telefon. Die IHK war dran. Der zuständige Projektmanager teilte mir mit, die Umfrage sei jetzt abgeschaltet worden. Sie hätten keine technische Lösung gefunden, wie das geschilderte Problem zu umgehen sei. Auf meine Frage, ob er mein Posting gelesen habe, sagte er nein. Anscheinend war er unabhängig davon zum selben Schluss gekommen: Dass die Umfrage so nicht durchgeführt werden konnte. (Ich nehme daher den vierten Punkt mal vorsichtig zurück.) Sie hätten im übrigen keine Manipulationen feststellen können. Das hatte ich auch nicht angenommen. Nur: nachweisen lässt sich das nicht. Und das macht die Umfrage in meinen Augen wertlos.

____
* Der so genannte “Hackerparagraf” – “§ 202a Ausspähen von Daten” im deutschen Strafgesetzbuch (StGB) sagt: “Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.” Natürlich gibt es unterschiedliche juristische Meinungen zu der Frage, was “besonders gesichert” genau bedeutet. Ich möchte dies nicht genauer wissen.
** Das Gesprächsprotokoll wurde direkt nach dem Telefonat am 14. Oktober 2010 (Zeit: etwa 11:55 Uhr – 12:02 Uhr) niedergeschrieben. Der Wortlaut und auch die Reihenfolge des gesprochenes Wortes kann durchaus abweichen, der Inhalt leider nicht.
*** Ein kleiner hausinterner Test ergab, dass sich die Umfrage mit dem aktuellen Internet Explorer nicht durchführen lässt. Ob das nur an irgendwelchen Einstellungen (Javascript, Cookies, …) liegt, haben wir nicht weiter verfolgt.
**** “Netigate ist eine webbasierte Befragungssoftware, die Ihnen die Durchführung von professionellen Befragungen leicht macht. Das Unternehmen mit Stammsitz in Stockholm verfügt über mehr als 400 Kunden allein in Europa. Die deutsche Zentrale befindet sich in Wiesbaden.”