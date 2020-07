Das niedersächsische Ministerium für Wissenschaft und Kultur (MWK) betreibt ein Portal für "Online-Antragsverfahren", auf dem Künstler, Vereine und Museen Fördergelder oder Stipendien beantragen können. Beziehungsweise: Sie konnten das. Denn nach einem Hinweis von heise Security zu gravierenden Datenschutz- und Sicherheitsproblemen hat das Ministerium den Dienst am gestrigen Dienstag komplett abgeschaltet.

Das Ministerium das Antragsverfahren jetzt "durch externe Sachverständige überprüfen lassen", erklärte Heinke Traeger vom MWK gegenüber heise Security. Das hätte ruhig vor der Inbetriebnahme geschehen sollen, denn schon eine erste In-Augenscheinnahme durch heise Security zeigte ganz offensichtliche Datenschutzmängel.

Da wurden persönliche Daten erhoben, ohne dass im Rahmen des Antragsverfahrens irgendwie ersichtlich war, was mit diesen geschieht. Ein Antragsteller musste versichern, dass er die Datenschutzerklärung gelesen hat – die ließ sich auf den Webseiten des Antragsverfahrens jedoch nirgends finden. Das angelegte Konto mit den damit verknüpften Daten ließ sich nicht löschen. Doch der Clou war der Schutz der im Rahmen des Antragsverfahrens übermittelten Daten.

Den gab es nämlich quasi nicht. Antragsteller übermittelten an das MWK neben Namen, Adresse, Telefonnummer und Bankverbindung auch ausgefüllte Antragsformulare, komplette Lebensläufe, Ausweiskopien und Angaben zu eventuellen Behinderungen. Auf all dies hatte jeder Zugang, der sich ein Konto erstellte, und dann den Wert in NutzerID= in der URL änderte. Dann zeigte das Portal sofort etwas wie "Angemeldet als: hugo.meier@irgendwo.de" und man hatte vollen Zugang zu Hugos Daten. Ziemlich sicher hätte man dort auch die hinterlegten Daten, also etwa die Bankverbindung, auf die die Auszahlung erfolgen soll, ändern können – das haben wir jedoch nicht ausprobiert.

Solche Schlampereien fallen eigentlich sofort auf, wenn jemand einen kritischen Blick auf Datenschutz und -sicherheit wirft. So wie heise-Security-Leser Falk Rismansanj, der aus Neugier den URL-Parameter veränderte und das erschreckende Resultat kaum glauben konnte. Er informierte daraufhin heise Security und wir nahmen Kontakt mit dem Ministerium auf. Das reagierte dann auch prompt und schaltete den Dienst noch am selben Tag komplett ab.

Ein Fall für die DSGVO

Das Ministerium ist jetzt eigentlich gemäß DSGVO verpflichtet, den Vorfall nicht nur der zuständigen Datenschutz-Aufsichtsbehörde zu melden, sondern auch den Betroffenen, deren Daten sie derart fahrlässig verwahrt haben. Mal sehen, ob sich jemand bei uns meldet, der eine solche Benachrichtigung erhalten hat.

Falls Sie Kenntnis von Missständen haben, von denen Sie glauben, dass die Öffentlichkeit darüber Bescheid wissen sollte, informieren Sie uns gerne über den Briefkasten von heise Investigativ. Wir gehen verantwortungsvoll mit diesen Daten um und halten Sie auf Wunsch natürlich auch anonym.

Haben Sie einen Tipp? Viele Investigativ-Recherchen sind nur möglich dank Informationen, die Leser und Hinweisgeber direkt oder anonym an uns übermitteln. Wenn Sie selbst Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns einen anonymen Hinweis oder brisantes Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten. zum anonymen Briefkasten

(ju)