Mieterportal Student deckt fatale Sicherheitslücke bei der Düsseldorfer LEG auf und wird angezeigt

Düsseldorf/Köln · Der Student David Kurz deckt eine riesige Sicherheitslücke bei der Düsseldorfer LEG auf. Betroffen davon sind fast alle Mieter, doch statt eines Dankeschöns wird er angezeigt.

Eine der Immobilien der LEG in Dortmund.

Foto: dpa/Ina Fassbender

David Kurz (Namensgleichheit mit dem Autor dieses Beitrags ist zufällig) hat eine Vorladung zur Polizei. Es geht um das Ausspähen von Daten. Der 25-jährige Informatik-Student aus Köln hat sich mit einem Großen angelegt. Jedenfalls empfindet der Große das so: die Düsseldorfer LEG, die Landesentwicklungsgesellschaft, Vermieter von 131.000 Wohnungen. Dass die LEG „rechtliche Maßnahmen“ gegen den Studenten ergriffen hat, kam so:

Die LEG betreibt seit Februar 2018 ein Mieterportal im Internet. Darauf können Mieter Informationen über ihren Vertrag abrufen. Persönliche Daten, Informationen über das Mietverhältnis (Beginn, gekündigt, Größe der Wohnung, Kaltmiete, Nebenkosten). Auch lassen sich das aktuelle Guthaben oder Schulden eines Mieters einsehen.

Mit einfachen Mitteln zum Einblick in fremde Konten

Solange ein Mieter auf diesem Wege nur Einblick in sein eigenes Konto nimmt, ist die Sache nicht heikel. Was aber, wenn er es schafft, auch  auf Konten anderer Mieter zuzugreifen? Und so herausfindet, dass diese zum Beispiel Mietschulden haben? Und was, wenn solche Daten in die Hände anderer Vermieter gelangten?

Dass ein solcher Zugriff jedenfalls eine gewisse Zeit lang möglich war, hat Student David Kurz nachgewiesen. Anfang Juli loggte der LEG-Mieter sich in sein eigenes Mieterkonto ein und variierte dann probeweise die Internetadresszeile, indem er die letzte Ziffer um einen Wert von 1 reduzierte. Und siehe da: Plötzlich waren die Mieterdaten seines Vormieters sichtbar. Der erstaunte Student variierte die Eingaben weiter und kam so spielerisch leicht auch in andere Mieterkonten.

Student David Kurz deckte die Sicherheitslücke auf.

Foto: David Kurz

Er meldete die Sicherheitslücke  dem NRW-Datenschutzbeauftragten und verbreitete die Nachricht, indem er  „mehrere Medien über die Sicherheitslücke informierte, damit möglichst viele Mieter der LEG von der Datenpanne erfahren“. Und er stellte einige Screenshots (Bildschirmfotos) anonymisierter Mieter-Konten auf seine Internetseite, um die Relevanz des Falles zu dokumentieren. Ohne aber dabei eine Anleitung zu geben, wie er in die Konten gelangt war. „Solche Details habe ich nicht veröffentlicht“, sagt Kurz, „sondern nur, dass eine Sicherheitslücke besteht“.

Die LEG stellt gegenüber dieser Zeitung zunächst einmal klar: „Datensätze konnten nicht durch jedermann ohne Weiteres über das Internet eingesehen werden. Vielmehr konnte der Angriffspunkt nur durch beim Mieterportal registrierte und angemeldete Personen potenziell ausgenutzt werden.“  Doch auch das, so sagt Kurz, sei ja schon ein großer Personenkreis gewesen.

Die LEG wirft dem Studenten vor: „Bedauerlicherweise hat der Mieter den potenziellen Angriffspunkt nicht unverzüglich an unseren für den Betrieb des Mieterportals beauftragten Dienstleister oder an uns gemeldet, sondern sich nach derzeitiger Kenntnis der LEG zunächst die Daten verschafft und Teile der so erlangten Mieterdaten anonymisiert im Internet verbreitet. Die LEG ist somit – genau wie einige ihrer Mieter – Geschädigte des Vorfalls bzw. der möglicherweise bestehenden Straftat.“

Unmittelbar nach dem Vorfall Anfang Juli war die LEG in ihrer Wortwahl noch weniger zimperlich gewesen. In einem Brief an die Nutzer des Mieterportals sprach man von  einem Täter, der einen potenziellen Angriffspunkt des Portals „mit krimineller Energie“ ausgenutzt habe. Und man unterstellte Kurz denn auch gleich dunkle Folgeabsichten, indem man die Mieter warnte: „Sollte sich der Täter oder ein Dritter bei Ihnen melden, reagieren Sie bitte nicht darauf, sondern informieren uns über den Versuch der Kontaktaufnahme.“

Mieterportal nach Überprüfung wieder in Betrieb

Nichts habe ihm ferner gelegen, als die Sicherheitslücke für sich auszunutzen, sagt Kurz. Die LEG versuche, „durch eine ungerechtfertigte Strafanzeige, falsche Verdächtigung und Verleumdung vom eigenen Versagen abzulenken. Das erinnert an alte Zeiten, als der Übermittler der Botschaft gelyncht wurde.“ Die LEG habe schon kurz nach der Veröffentlichung des Falles durch ihn im Internet Kenntnis davon erlangt, sich aber nicht mit ihm in Verbindung gesetzt.

Die LEG ihrerseits betont, sie habe umgehend nach Bekanntwerden des Vorfalls den NRW-Datenschutzbeauftragten über die Sicherheitslücke informiert. Man habe auch das  Mieter-Portal abschalten und überprüfen lassen. Mittlerweile sei es nach umfassenden Sicherheitschecks wieder in Betrieb.   Die Frage, ob die LEG statt der harschen Reaktion nicht auch Anlass gehabt hätte, dem Aufdecker der Sicherheitslücke dankbar zu sein, lässt ein LEG-Sprecher unbeantwortet. Um den Fall kümmerten sich inzwischen die Juristen.

Ein anderer Jurist, der Kölner Rechtsanwalt Rainer Robbel, der nach eigenen Angaben auch als externer Datenschutzbeauftragter für verschiedene Unternehmen tätig ist, sieht in einem Rechtsgutachten die LEG weniger als Opfer, sondern spricht ihr auch eigene Verantwortung im Umgang mit den Mieterdaten zu: „Der Umstand, dass jeder, der Zugang zu dem Mieterportal hatte, mit einfachsten Mitteln, nämlich nur durch Veränderung der in der Adresszeile angegebenen Vertragsnummer, auf die Datensätze anderer Mieter zugreifen konnte, entspricht zweifellos nicht einem angemessenen Schutzniveau.“ Der LEG drohe in dem Fall wegen der Sicherheitslücke ein Bußgeldverfahren.  Die LEG betont dagegen, das Mieter-Portal sei von einem professionellen externen Dienstleister entwickelt worden, der das Portal für die LEG auch betreibe.

Kritik am Verhalten der LEG gegenüber dem Studenten

Dass sich Kurz wegen Ausspähens von Daten (§ 202a Strafgesetzbuch) strafbar gemacht hat, bezweifelt Jurist Robbel. Dazu hätten die Daten gegen den unberechtigten Zugang besonders gesichert gewesen sein müssen. „Der Umstand, dass die Ausgabe des passenden Datensatzes aufgrund der in Klarschrift in der URL aufgeführten Vertragsnummer erfolgte, war evident und ohne besondere Kenntnisse für jeden Portalnutzer erkennbar. Dabei genügte die Eingabe irgendeiner Vertragsnummer mit identischer Syntax, um sich den dazugehörigen fremden Datensatz ausgeben zu lassen und herunterladen zu können. Auch die zufällige Änderung der Vertragsnummer hätte unweigerlich zur Anzeige eines fremden Datensatzes geführt.“

Jenseits der juristischen Analyse hat für Robbel das Krisenmanagement der LEG eine neue Krise eigener Art verursacht hat. „Anstatt David Kurz den ihm gebührenden Dank zuteil werden zu lassen, begibt man sich in die Opferrolle und macht den Whistleblower, der selbst zu den eigentlichen Opfern eines möglichen Datenlecks zählt, zum Täter und diskreditiert ihn gegenüber denjenigen, die dieser eigentlich schützen wollte.“