Calendar

5-Punkte-Plan für d(on't)-trust

2025-01-24 16:34:14, linus

Mit bedeutungsschwangerer Cyber-Rhetorik will d-trust von der Verantwortung für ein großes Datenleck ablenken. Der CCC erklärt die Hintergründe und fordert Konsequenzen.

“Vorreiter für sichere digitale Identitäten”

d(on’t)-trust ist ein qualifizierter Vertrauensdiensteanbieter und ein Unternehmen der Bundesdruckerei. Das Unternehmen will “Vertrauen in die Digitalisierung stärken” und “sichere digitale Identitäten” bereitstellen.

Unter anderem stellt d(on’t)-trust die elektronischen Heilberufeausweise und Praxisausweise aus, die für den Zugriff auf die Telematik-Infrastruktur und damit die elektronische Patientenakte benötigt werden.

Ungeschützte Bereitstellung tausender Kundendaten

Durch eine Kombination aus Versehen, Inkompetenz und mangelnder Sorgfalt hat d(on’t)-trust Daten seiner Kund*innen im Internet veröffentlicht. Zu den von d(on’t)-trust veröffentlichten Daten gehören Vor- und Nachname, E-Mail-Adresse, Geburtsdatum sowie teilweise Adressdaten und Nummern des jeweiligen Ausweisdokuments.

Die vermutlich unbeabsichtigte Veröffentlichung dieser Daten ist einem Sicherheitsforscher Anfang Januar aufgefallen. Da die Ampel es versäumt hat, Sicherheitsforschung zu entkriminalisieren und die Hacker-Paragraphen abzuschaffen, hat der Sicherheitsforscher das von d(on’t)-trust verantwortete Datenleck unmittelbar anonym an den CCC gemeldet und die restlose Löschung der Daten versichert.

Der CCC erstattet aktuell im Rahmen seiner ehrenamtlichen Arbeit wöchentlich eine hohe Anzahl an Meldungen und konnte das durch d(on’t)-trust verursachte Datenleck erst prüfen, als es bereits beseitigt war. Das Unternehmen d(on’t)-trust hat nach eigenen Angaben “Strafanzeige gegen Unbekannt gestellt” und spricht von einem “Angriff”, bei dem “möglicherweise personenbezogene Daten von Antragstellern entwendet worden seien.” Ein “spezialisiertes IT-Sicherheitsteam” würde gemeinsam mit Sicherheitsbehörden die “Hintergründe des Angriffs” aufklären. Weiterhin erklärt das Unternehmen, “eine Schnittstelle des Portals wurde gezielt manipuliert.” [1]

Die Reaktion zeigt anschaulich, warum der anonyme Sicherheitsforscher sich lieber an den CCC, als an das betroffene Unternehmen wandte.

Genug der Cyber-Augenwischerei!

Fakt ist:

  1. d(on’t)-trust hat die Daten ohne angemessenen Schutz ins Internet gestellt.
  2. d(on’t)-trust schuldet eine Erklärung, warum überhaupt derart sensible Daten dauerhaft online bereitgehalten und über das Internet zugänglich gemacht wurden.

Fragen dazu möchte das Unternehmen natürlich gern aus dem Weg gehen. Da liegt es nahe, der lächerlichen Cyber-Rhetorik treu zu bleiben, auch nachdem wir d(on’t)-trust informiert haben. [2] Die in dem “Schreiben gemachten Aussagen” würden aktuell ausgewertet, lässt d(on’t)-trust verlautbaren. Dabei würde das Unternehmen “weiterhin eng mit den involvierten Sicherheitsbehörden und externen Sicherheitsexperten” zusammenarbeiten.

Wie wäre es mit Konsequenzen?

Der CCC empfiehlt folgenden 5-Punkte-Plan:

1. Verantwortung: d(on’t)-trust erkennt öffentlich an, dass die unentschuldbare, peinliche und durch nichts zu rechtfertigende Sicherheitslücke allein in der Verantwortung des selbsternannten “Vorreiters für sichere digitale Identitäten” liegt.

2. Entschuldigung: d(on’t)-trust veröffentlicht eine förmliche Entschuldigung gegenüber den Strafverfolgungsbehörden, Aufsichtsbehörden und dem Chaos Computer Club für die missbräuchliche Auslegung des Hacker-Paragraphen. In der Erklärung erkennt d(on’t)-trust an, dass die Daten unter Verletzung von Datenschutzvorgaben und IT-Sicherheitsanforderungen gesammelt und online bereitgestellt wurden.

3.Aktuelles Jahrhundert: Statt in Cyber-Augenwischerei investiert d(on’t)-trust alle Energie in das Erreichen von Sicherheitsstandards des aktuellen Jahrhunderts.

4. Hacker-Paragraphen: Die Hacker-Paragraphen kriminalisieren Sicherheitsforschung. Sie werden deshalb abgeschafft.

5. Strafe: Die Bundesbeauftragte für Datenschutz und Informationsfreiheit kassiert eine saftige Summe von d(on’t)-trust.

Wir freuen uns drauf!

Links und Quellen

[1] Pressemeldung der D-Trust vom 13. Januar 2025


[2] Aus Gründen der Transparenz veröffentlichen wir unsere Meldung an d(on't)-trust:

Sehr geehrte Bundesdruckerei / D-Trust,

ich wende mich an Sie als Sprecher des Chaos Computer Clubs, der größten europäischen Vereinigung von „White Hat“-Hackern. Regelmäßig melden wir Sicherheitslücken und Datenlecks den Verantwortlichen, um potenzielle Betroffene zu schützen. Unsere Hinweise erfolgen stets im Interesse der Allgemeinheit und ohne finanzielle Interessen.

Wie wir aus Medienberichten erfahren haben, haben Sie Strafanzeige erstattet, nachdem über eine von Ihnen nicht geschützte API auf von Ihnen veröffentlichte personenbezogene Daten zugegriffen wurde.

Unter https://portal.d-trust.net/api/ceroma-restapi-service/requests/id haben Sie ohne jegliche Schutzmaßnahmen Daten fremder Bestellungen bereitgestellt. Empfehlungen zur Behebung dieser Schwachstelle finden Sie hier:

https://cheatsheetseries.owasp.org/cheatsheets/Insecure_Direct_Object_Reference_Prevention_Cheat_Sheet.html

Hiermit setzen wir Sie darüber in Kenntnis, dass die folgenden Zugriffe über Proton VPN von einem anonymen Sicherheitsforscher und nicht von Kriminellen ausgingen:

  • 03.01.2025, 14:31–23:59
  • 04.01.2025, 00:00–23:59
  • 05.01.2025, 00:00–23:39
  • 06.01.2025, 09:29–11:09

Der Sicherheitsforscher hat die von Ihnen verantwortete Sicherheitslücke unmittelbar anonym an uns gemeldet und die restlose Löschung der Daten versichert. Sofern keine weiteren Zugriffe neben den oben genannten erfolgt sind, brauchen Sie daher keinen Missbrauch der von Ihnen ohne Zugriffsschutz veröffentlichten Daten zu befürchten.

Der Forscher handelte aus lauteren Motiven und ohne kriminelle Absicht. Die rechtliche Grauzone des sogenannten Hacker-Paragraphen sowie Ihre erstattete Strafanzeige führten jedoch dazu, dass eine Meldung an Sie nicht mehr zeitnah erfolgen konnte.

Bitte beachten Sie, dass wir als Chaos Computer Club lediglich diese Nachricht überbringen. Wir möchten diese Gelegenheit jedoch nutzen, Sie persönlich darauf hinzuweisen, dass Ihre Strafanzeige gegenstandslos ist, da die personenbezogenen Daten de facto von Ihnen veröffentlicht wurden. Entsprechend wurde auch kein Zugriffsschutz umgangen.

Wir hoffen, dass Ihnen ebenso wie uns ein Stein vom Herzen fällt, dass die von Ihnen ohne Zugriffsschutz veröffentlichten Daten nicht in kriminelle Hände geraten sind. Wir hoffen, dass Sie Ihre Energie nun darauf verwenden, Ihr Sicherheitsniveau an die gängigen Standards dieses Jahrhunderts anzuheben.

Beste Grüße

Linus Neumann

Chaos Computer Club