Hackerangriff war laut CCC hausgemachtes Datenleck |
 |  | Cornelia Dölger |
 |
27.01.2025 11:00 Uhr |
Vorige Woche sorgte ein »Datenschutzvorfall« bei D-Trust für Aufsehen. Das Tochterunternehmen der Bundesdruckerei hatte einen Hackerangriff gemeldet. Der Chaos Computer Club entgegnet, die Panne sei hausgemacht. / © Adobe Stock
Der CCC moniert in einer Meldung auf seiner Website, durch »eine Kombination aus Versehen, Inkompetenz und mangelnder Sorgfalt« habe der Dienstleiser Daten seiner Kundinnen und Kunden im Internet veröffentlicht. Dazu gehören demnach Vor- und Nachname, E-Mail-Adresse, Geburtsdatum sowie teilweise Adressdaten und Nummern des jeweiligen Ausweisdokuments.
Die Veröffentlichung sei »vermutlich unbeabsichtigt«, schreibt der CCC. Sie sei einem »Sicherheitsforscher« Anfang Januar aufgefallen. Die Ampel habe versäumt, »Sicherheitsforschung zu entkriminalisieren und die Hacker-Paragraphen abzuschaffen«. Daher habe der Experte das Datenleck »unmittelbar anonym an den CCC gemeldet und die restlose Löschung der Daten versichert«.
Der CCC kritisiert die Reaktion des Unternehmens. Etwa dass D-Trust »Strafanzeige gegen Unbekannt« gestellt habe, zeige »anschaulich, warum der anonyme Sicherheitsforscher sich lieber an den CCC, als an das betroffene Unternehmen wandte«.
Der »Sicherheitsforscher« habe »aus lauteren Motiven und ohne kriminelle Absicht« gehandelt, schreibt CCC-Sprecher Linus Neumann an das Unternehmen. Die »rechtliche Grauzone des sogenannten Hacker-Paragraphen« sowie die Strafanzeige hätten jedoch dazu geführt, dass eine Meldung an die D-Trust nicht mehr zeitnah erfolgen konnte.
Fakt sei, dass D-Trust die Informationen nicht ausreichend geschützt ins Internet gestellt habe, heißt es in der CCC-Meldung weiter. Das Unternehmen »schuldet eine Erklärung, warum überhaupt derart sensible Daten dauerhaft online bereitgehalten und über das Internet zugänglich gemacht wurden«.
Entsprechende Konsequenzen seien zu fordern, neben »Verantwortung« und »Entschuldigung« die Abschaffung der »Hacker-Paragrafen«, da diese die »Sicherheitsforschung« kriminalisierten. Zudem solle das Unternehmen eine Geldstrafe zahlen.
In einer Reaktion auf das Schreiben erklärt D-Trust, der »Sicherheitsforscher« habe Anfang Januar »unzulässigerweise in mehreren Sitzungen Daten aus dem Antragsbearbeitungssystem entwendet«. Die in dem Schreiben gemachten Aussagen würden »aktuell ausgewertet«. D-Trust arbeite weiterhin »eng mit den involvierten Sicherheitsbehörden und externen Sicherheitsexperten zusammen«.
Im Zuge der EPA-Einführung Mitte Januar hatte der Vorfall vergangene Woche für Aufsehen gesorgt, auch weil der Rollout in den Modellregionen von grundsätzlichen Sicherheitsbedenken begleitet wurde.
