Mehrere Stiftungen betroffen - Berliner Software-Firma verursacht Datenleck bei zehntausenden Bewerbungen

Symbolbild: Eine Frau arbeitet Zuhause an einem Laptop (Bild: dpa/Wedel/Kirchner-Media)
Bild: dpa/Wedel/Kirchner-Media

Die Berliner Firma Javengo will den Bewerbungsprozess auf Stipendien digitalisieren. Doch nun lagen Daten von Bewerber:innen etwa der Rosa-Luxemburg-Stiftung und der Stiftung der deutschen Wirtschaft schlecht geschützt im Netz. Von Haluka Maier-Borst

Wie viel braucht es, um im Internet vorzutäuschen, Sie zu sein? Name, E-Mail-Adresse, Telefonnummer sind sicher ein Anfang. Besser wird es dann, wenn man Ihre Postanschrift, Geburtsdatum und Bankverbindung kennt. Dürfen es noch ein paar Nachweise über Praktika, Zeugnisse und Arbeitsverträge sein? Ja, das wäre wohl genügend Wissen, um wahlweise auf Ihren Namen zu bestellen und vor Ihrer Haustür die Ware abzugreifen, Accounts zu kapern oder Sie einfach nur eine Zeit lang zu ärgern, zu nerven und verzweifeln zu lassen.

Identitätsdiebstahl nennt man diese Form von digitalem Katz-und-Maus-Spiel. Und wegen einer massiven Sicherheitlslücke bei einer Berliner Firma sind nun womöglich 40.000 überwiegend junge Menschen davon betroffen. Menschen, die sich wahlweise bei der Stiftung der deutschen Wirtschaft oder der Rosa-Luxemburg-Stiftung beworben haben, um ein Stipendium zu bekommen. Auch das Avicenna Studienwerk und die Stiftung "Children for a better World", die unter anderem Kinder in Brennpunktstadtteilen fördert, waren betroffen.

Das ist das Ergebnis einer Analyse des IT-Kollektivs "Zerforschung" [zerforschung.org], das mehrere eklatante Sicherheitslücken bei einer Software der Firma Javengo fand, die alle vier genannten Stiftungen nutzen. Die Analyse hat rbb|24 vorab lesen und verfizieren können. Doch auf die gestellten Fragen von rbb|24 an die Firma Javengo und die betroffenen Stiftungen antworteten beide Seiten in den meisten Fällen nur kurz angebunden.

Das ist ziemlich genau das, was man haben möchte, wenn man die Identität von jemandem stehlen will

Anoymes Mitglied von "Zerforschung"

So schreibt Javengo am 28. August als Dreizeiler:

Wir sind bzgl. der gemeldeten Sicherheitslücken mit unseren Kunden im Austausch.

Die gesetzlich vorgeschriebenen Schritte wurden umgehend eingeleitet.

Die uns zur Kenntnis gebrachte Sicherheitslücke ist geschlossen worden.

Nur; das stimmt nicht ganz. So konnte man auch am 31. August, also rund drei Tage nach der Antwort von Javengo über eine alternative Webadresse beispielsweise nach wie vor auf die Datenbank der Rosa-Luxemburg-Stiftung zugreifen. Erst jetzt scheinen die Sicherheitslücken wirklich alle behoben zu sein.

Und auf Fragen, wie lange die Sicherheitslücke bestand, wie viele Bewerberinnen und Bewerber nach Javengos Ansicht betroffen sind und ob wirklich die Sicherheitslücken derart eklatant waren, will die Firma nicht antworten, denn: "Auf die angefragten Details zur Sicherheitslücke können wir zum Schutz unserer Kunden und deren Daten nicht näher eingehen."

Lediglich die Rosa-Luxemburg-Stiftung geht detaillierter auf die gestellten Fragen ein und bestätigt, dass Adressdaten, Bankverbindungen, Scans und alle anderen oben genannten Informationen abrufbar waren. Allerdings geht man davon aus, dass nur "rund 270 Bewerbungsdatensätze" der Rosa-Luxemburg-Stiftung betroffen waren.

So bleibt zum Abschätzen des Ausmaßes nur das, was "Zerforschung" in seiner Analyse beschreibt und das, was rbb|24 selbst nachprüfen konnte.

Eine falsche E-Mail-Adresse im Tausch gegen alle sensiblen Daten

Der Einstieg in das Datenleck war dabei denkbar einfach. Zwar fragte das Bewerberportal nach einer E-Mail-Adresse, um einen Zugang zu registrieren. Aber schon beim Abschicken der Registrierung schickte die Datenbank einen Schlüssel an den Browser zurück. Sprich, auch mit einer vollkommen erfundenen E-Mail-Adresse konnte man sich einloggen. Ein Schritt, der es potenziellen Angreifern noch einfacher macht, ihre Spuren zu verwischen.

Ferner war die Abstufung dessen, was ein registrierter Account darf oder nicht, vollkommen außer Kraft gesetzt. Die Folge: Mit jedem beliebigen Account und dem zugehörigen Passwort ließ sich die komplette Datenbank der jeweiligen Stiftungen auslesen, was rbb|24 auch verifizieren konnte.

Entsprechend ließen sich für die Bewerberinnen und Bewerber hochpersönliche Daten abgreifen. Seien es Name, Adresse oder Bankverbindung - oder das Zwischenzeugnis im Studium, der Nachweis über ein Auslandspraktikum oder die Bescheinigungen über den Studentenjob.

Das Urteil der IT-Sicherheitsforscher fällt in ihrer Analyse entsprechend deutlich aus: "Die Sicherheitslücken hinterlassen den Eindruck, das in keinster Weise auf den Schutz der nach DSGVO teilweise besonders schützenswerten Daten geachtet wurde. Grundlegende Massnahmen der IT-Sicherheit wurden nicht getroffen." Und das sei bei derart persönlichen Daten besonders problematisch.

Nach Angaben der Rosa-Luxemburg-Stiftung wurde der Vorfall inzwischen an die Berliner Beauftragte für Datenschutz und Informationsfreiheit gemeldet. Man werden diesen Vorfall zum Anlass nehmen, um Sicherheitschecks "für alle IT-Systeme durchzuführen, in denen personenbezogene Daten verarbeitet werden."

Beitrag von Haluka Maier-Borst

10 Kommentare

Wir schließen die Kommentarfunktion, wenn die Zahl der Kommentare so groß ist, dass sie nicht mehr zeitnah moderiert werden können. Weiter schließen wir die Kommentarfunktion, wenn die Kommentare sich nicht mehr auf das Thema beziehen oder eine Vielzahl der Kommentare die Regeln unserer Kommentarrichtlinien verletzt. Bei älteren Beiträgen wird die Kommentarfunktion automatisch geschlossen.

  1. 10.

    Digitalisierung ist die Umsetzung von Businessprozessen in Software. Wenn man zwischen den Zeilen liest kann man erkennen das es hier Zugriff auf sensible Daten gab ohne Datenverifikation. Man kann nur hoffen das die Rosa-Luxemburg-Stiftung nicht auf die selbe Art und Weise sensible Daten an unbekannte weitergegeben hat. Zudem kommt die Weigerung für Digitalisierung entsprechend bezahlen zu wollen. An Qualität in der IT zu sparen hat sich noch nie bewährt.

    Die "legendäre Vorarbeit" endete im Statement dass, das Internet Neuland ist. Man hätte hier schon viel früher vorsorgen können.

  2. 9.

    Die Deutschen haben den Computer erfunden (Z3 von Zuse). Telefon (Reis). Fernsehen (Ardenne). Chipkarte (Dethloff/Gröttrup). MP3 > Digital-Telefonie (Fraunhofer) sowie MP3-Player. Funkuhr (Junghans). Intelligente
    TWIN-Aufzüge (ThyssenKrupp). Computerkunst (Frieder Nake). Grundlagen von Datenbanken (R.Bayer).
    Es gab auch konkurrenzfähige Firmen wie Siemens-Nixdorf oder Vobis (Computer). SAP (Datenbanken). ELAN (TU Berlin Programmierung)...

    Danach nur Versagen und Klau...

  3. 8.

    "In den G-20 Staaten auf Platz 18 in der Digitalisierung abgerutscht... die legendäre Vorarbeit der anderen Generationen ist futsch. Weiter so."

    Kommt darauf wiw weit man die "Vorarbeit der anderen Generationen" sieht. D war im Automobil- und Maschinenbau Spitzenreiter. Darauf hat sich ein korruptes und unfähiges Management ausgeruht. Wurde ja auch extrem hoch subventioniert, Steuergelder flossen reichlich.

    Heute tragen die "Nieten in Nadelstreifen" halt Hipsterbärte und Turnschuhe, geändert hat sich nur, dass durch die allgegenwärtige Vernetzung der Schaden für den Einzelnen gravierende Ausmaße annimmt.

    Während früher die Belegschaft die Suppe auslöffeln mußte, sind es heute die Nutzer solcher Windeier.

    Diese Startup "Unternehmen" sollen schnell Geld abwerfen, da stört Sicherheit nur, außerdem beschäftigt man meist drittklassige ITler aus den gleichen Gründen.

  4. 7.

    Kennen wir doch. Digitalisierung? Hä? Ich bin gespannt auf das nächste Homeschooling. Ob wir dann immer noch die Geschenkeliste zur Hochzeit des Mathelehrers einsehen können *#* Oder wie war doch das mit den Testcentern? Und den Eigentümern der Berliner Zeitung? Aber wir sind zu doof, nachzuhalten, wer denn nun geimpft ist und wieviele noch fehlen - und wo die wohnen. Obwohl wir überall alle Daten sammeln. Payback hat mehr Daten als das RKI. Aber ob die sicher sind? Jeder bucht slots für Freibäder, Museen, Restaurants online und bezahlt dann mit dem Handy... Ich glaube, das ist ziemlich blauäugig...

    Ich möchte das echt nicht erleben, dass einer meine Identität klaut! Horror!

  5. 6.

    "Die gesetzlich vorgeschriebenen Schritte wurden eingeleitet" ? Geld bekommen hat Javengo wofür ? Also die erhobenen Gebühren zurückzahlen, Startup-Förderungen zurückgeben, Rücklagen für Schadenersatz der Betroffenen bilden und dann nehmt mal schön die Radiergummis und putzt das Internet ! Wieder eine Firma die hoffte in den Dax aufzusteigen ohne arbeiten zu müssen ?

  6. 5.

    Sehr geehrte Frau Gerdi,
    genauso ist es. Aber hauptsache an dieser LUCA (Fanta4) - App festhalten
    Mit freundl. Grüßen

  7. 4.

    Bitte in verständlichem Deutsch eine Überschrift präsentieren. Was sind Bewerber:innen? Der Duden sagt dazu nichts aus, Sie als öffentlich rechtliche Medienanstalt tragen hier besondere Verantwortung, die deutsche Sprache nicht zu verhunzen.
    Richtig wäre es gewesen, wenn schon „Bewerber“ einigen neuklugen Menschen nicht genügt, auch „Bewerberinnen“ in der Überschrift zu verwenden.

    Danke.

  8. 3.

    Sind halt junge Leute...da kann man doch noch probieren und sich finden...

  9. 2.

    In den G-20 Staaten auf Platz 18 in der Digitalisierung abgerutscht... die legendäre Vorarbeit der anderen Generationen ist futsch. Weiter so.

  10. 1.

    ..." dieser vorfall wundert mich überhaupt nicht und das verhalten derjenigen noch weniger ! tun sie doch alles so wie bisher gehabt! offenbart sich doch ihr wahrer charakter bei der spezifizierten einzelnen abfrage wenn sie schriftlich abgefordert wird! ausweichen nicht drauf eingehen nicht antworten den ganzen schmunzes wiederholen....tja und diese person "datenschutzbeauftragte/r" ist einer reiner witz - "die kann man getrost in die tonne kloppen"-wenn man sich auf "solche personen/institutionen" verlässt dann ist man verlassen! " .

Nächster Artikel