idw – Informationsdienst Wissenschaft

Nachrichten, Termine, Experten

Grafik: idw-Logo
Thema Corona

Imagefilm
Science Video Project
idw-News App:

AppStore



Teilen: 
10.02.2015 10:21

Saarbrücker Cybersicherheits-Studenten entdecken bis zu 40.000 ungesicherte Datenbanken im Internet

Friederike Meyer zu Tittingdorf Pressestelle der Universität des Saarlandes
Universität des Saarlandes

    Jedermann konnte mehrere Millionen Kundendaten mit Namen, Adressen, E-Mails und Kreditkartennummern im Internet abrufen oder gar verändern. Dies haben laut Angaben des Saarbrücker Kompetenzzentrums für IT-Sicherheit (CISPA) drei seiner Studenten der Cybersicherheit und Informatik bei tausenden Online-Datenbanken unter anderem auch aus Deutschland und Frankreich nachgewiesen. Ursache ist eine falsch konfigurierte, frei verfügbare Datenbank, auf der weltweit Millionen von Online-Shops und Plattformen ihre Dienste aufbauen. Halten sich die Betreiber bei der Installation blind an die Leitfäden und bedenken nicht entscheidende Details, stehen die Daten schutzlos im Internet.

    Das CISPA hat bereits Hersteller und Datenschützer informiert.

    „Der Fehler ist nicht kompliziert, seine Wirkung ist jedoch katastrophal“, erklärt Michael Backes, Professor für Informationssicherheit und Kryptografie an der Universität des Saarlandes und Direktor des CISPA. Ende Januar hatten ihn die Studenten und CISPA-Mitarbeiter Kai Greshake, Eric Petryka und Jens Heyens kontaktiert. Heyens studiert Cybersicherheit an der Universität des Saarlandes, seine beiden Kommilitonen werden sich im kommenden Semester auf das im Wintersemester 2014 neu gestartete Studienfach spezialisieren. Die Lücke, die die drei CISPA-Studenten gefunden haben, betrifft laut der aktuellsten Information von CISPA 39.890 Adressen. „Die Datenbanken arbeiten darunter ohne jegliche Sicherheitsmechanismen. Da man sogar Schreibrechte hat und daher die Daten verändern könnte, nehmen wir an, dass die Datenbanken ohne Absicht offen sind“, so Backes. Bei den Datenbanken handelt es sich um den Typ MongoDB, eine der am weitesten verbreiteten, kostenlos erhältlichen Datenbanken. Die Studenten befragten testweise eine bekannte Suchmaschine nach MongoDB-Servern und Diensten, die mit dem Internet verbunden sind. Auf diese Weise fanden sie die IP-Adressen, unter denen Unternehmen die Datenbanken ungeschützt betreiben.

    Als die Studenten unter der jeweiligen IP-Adresse die gefundenen MongoDB-Datenbanken aufriefen, waren sie überrascht: Dieser Zugang war weder geschlossen noch in irgendeiner anderen Form abgesichert. „Eine so ungesicherte Datenbank im Internet gleicht einer öffentlichen Bibliothek ohne Bibliothekar mit weit offen stehender Eingangstür. Jeder kann dort rein“, erklärt Backes. Innerhalb von wenigen Minuten fanden die Studenten diesen gefährlichen Zustand auch bei einer Vielzahl anderer Datenbanken vor.

    Am meisten erschreckte die Studenten die Kundendatenbank eines französischen börsennotierten Internetdienstanbieters und Mobiltelefoniebetreibers, die Adressen und Telefonnummern von rund acht Millionen Franzosen enthielt. Laut Aussage der Studenten befanden sich darunter auch eine halbe Million deutscher Adressen. Die Datenbank eines deutschen Online-Händlers inklusive Zahlungsinformationen hätten sie ebenfalls ungesichert vorgefunden. „Die darin gespeicherten Daten reichen aus, um Identitätsdiebstähle durchzuführen. Selbst wenn diese bekannt werden, plagen sich die betroffenen Personen noch Jahre danach mit Problemen wie beispielsweise Verträgen, die Betrüger in ihrem Namen abgeschlossen haben“, sagt Backes. Die Wissenschaftler des CISPA begannen daher sofort den Hersteller sowie internationale Koordinationsstellen für IT-Sicherheit (CERTs) zu kontaktieren. Sie informierten auch die französische Datenschutzbehörde „Commission nationale de l'informatique et des libertés“ und das Bundesamt für Sicherheit in der Informationstechnik. „Wir hoffen auch, dass der Hersteller von MongoDB unsere Erkenntnisse rasch aufnimmt, sie in seine Anleitungen einarbeitet und sie so auch an die Anwender weitergibt“, so Backes.

    Hintergrund zum CISPA an der Universität des Saarlandes

    Das Center for IT Security, Privacy and Accountability (CISPA) wurde 2011 vom Bundesministerium für Bildung und Forschung als Kompetenzzentrum für Cybersicherheit gegründet. Neben der Universität des Saarlandes sind auch die beiden Max-Planck-Institute für Informatik und Softwaresysteme sowie das Deutsche Forschungszentrum für Künstliche Intelligenz (DFKI) am CISPA beteiligt. Mittlerweile ist das Zentrum mit 200 Wissenschaftlern eines der größten Forschungszentren für IT-Sicherheit in Europa.

    Ein Pressefoto für den kostenlosen Gebrauch finden Sie unter www.uni-saarland.de/pressefotos. Bitte beachten Sie die Nutzungsbedingungen.

    Fragen beantworten:
    Stefan Nürnberger
    Center for IT-Security, Privacy, and Accountability (CISPA)
    Tel.: +49 (0) 681 302 57364
    Email: nuernberger@cs.uni-saarland.de

    Prof. Dr. Michael Backes
    Direktor des CISPA - Center for IT-Security, Privacy and Accountability
    an der Universität des Saarlandes
    Lehrstuhl für Informationssicherheit und Kryptographie
    Tel.: +49 (0)681/302 3249
    E-Mail: backes@cs.uni-saarland.de

    Redaktion:
    Gordon Bolduan
    Wissenschaftskommunikation
    Kompetenzzentrum Informatik Saarland
    Tel: 0681 302-70741
    E-Mail: bolduan@mmci.uni-saarland.de

    Hinweis für Hörfunk-Journalisten: Sie können Telefoninterviews in Studioqualität mit Wissenschaftlern der Universität des Saarlandes führen, über Rundfunk-Codec (IP-Verbindung mit Direktanwahl oder über ARD-Sternpunkt 106813020001). Interviewwünsche bitte an die Pressestelle (0681/302-2601).


    Weitere Informationen:

    http://cispa.saarland/mongodb


    Merkmale dieser Pressemitteilung:
    Journalisten, Wirtschaftsvertreter, jedermann
    Informationstechnik, Wirtschaft
    überregional
    Forschungs- / Wissenstransfer
    Deutsch


    Die Cybersicherheits-Studenten Kai Greshake, Eric Petryka und Jens Heyens (v.l.n.r.)


    Zum Download

    x

    Hilfe

    Die Suche / Erweiterte Suche im idw-Archiv
    Verknüpfungen

    Sie können Suchbegriffe mit und, oder und / oder nicht verknüpfen, z. B. Philo nicht logie.

    Klammern

    Verknüpfungen können Sie mit Klammern voneinander trennen, z. B. (Philo nicht logie) oder (Psycho und logie).

    Wortgruppen

    Zusammenhängende Worte werden als Wortgruppe gesucht, wenn Sie sie in Anführungsstriche setzen, z. B. „Bundesrepublik Deutschland“.

    Auswahlkriterien

    Die Erweiterte Suche können Sie auch nutzen, ohne Suchbegriffe einzugeben. Sie orientiert sich dann an den Kriterien, die Sie ausgewählt haben (z. B. nach dem Land oder dem Sachgebiet).

    Haben Sie in einer Kategorie kein Kriterium ausgewählt, wird die gesamte Kategorie durchsucht (z.B. alle Sachgebiete oder alle Länder).