Menü

Google Hacks in Datenbanken [Update]

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 302 Beiträge
Von

Vom CDU-Ortsverein, über Universitäten bis zur Europäischen Weltraumbehörde ESA – vor den so genannten "Google Hacks" scheint keiner sicher zu sein. Denn Daten im Internet sind öffentlich – grundsätzlich. Selbst passwortgeschützte Bereiche lassen sich mitunter über einfache Änderungen in der URL einsehen. Diese Lücken können über Suchmaschinen systematisch ausgeforscht werden. Die ESA immerhin hat ein Leck jetzt direkt nach einem Hinweis auch gestopft und will ihre gesamten Systeme überprüfen. Google Hacks sind Suchanfragen an Google, die Seiten als Treffer liefern, die es eigentlich gar nicht geben sollte. Erforderlich ist dabei nur etwas Systemkenntnis. Gibt man etwa "vertraulich weitergabe filetype:ppt" und wählt "Seiten auf Deutsch" aus, trifft man sehr schnell auf vertraulich gekennzeichnete Powerpoint-Unterlagen von Unternehmen. Ob diese per Zufall ins Netz gelangt sind oder bewusst frei gegeben wurden, lässt sich so nicht entscheiden.

Ähnlich sehen die Google-Abfragen für Datenbanken aus. Eingegeben werden wiederkehrende, für Datenbanken typische Dateikürzel, die dann gegebenenfalls durch weitere Zeichenfolgen ersetzt werden. Gerrit Wiegand, Geschäftsführer des Offenbacher IT-Service-Unternehmens Mainis GmbH, untersuchte, inwieweit sich geschlossene Inhalte auf Websites über Suchmaschinen ausforschen lassen. Dabei stieß er schon nach kurzer Zeit auf zahlreiche Sicherheitslücken. Über wenige Mausklicks war etwa der Zugriff auf eine eigentlich passwortgeschützte Datenbank des Europäischen Raumfahrt- und Technologiezentrums ESTEC möglich. Dabei war weder die Eingabe von Passwörtern nötig, noch wurden die Daten verschlüsselt. Allein etwas Kenntnis der Skriptsprache PHP, mit der Webanwendungen erstellt werden können, half hier weiter.

In der ESTEC-Datenbank finden sich die Bewerbungsunterlagen von Interessenten an einer von ESA bezahlten Konferenzteilnahme. "Faszination für den Weltraum seit der Kindheit", "Begeisterung für Weltraumtechnik", "Austausch mit anderen", "Karriere" – das geben die ESTEC-Bewerber als Beweggründe an. Erfahren ließen sich aber auch Kontaktadressen für Notfälle und sogar gesundheitliche Probleme wie eine Quecksilberallergie. Die Daten konnten nicht nur angesehen und ausgedruckt, sondern auch jederzeit verändert werden. "Die Datenbank war mindestens schon seit drei Monaten ungesichert, vermutlich sogar länger", meint Gerrit Wiegand. Peter Wedde, Professor für Arbeitsrecht und Recht der Informationsgesellschaft an der Fachhochschule Frankfurt/Main, sagt: "In der ESA sollten eigentlich Profis am Werk sein. Und diese müssten ihre Hausaufgaben machen." Besonders eklatant für Wedde ist, dass in den Datenbanken auch besondere medizinische Daten waren: "Diese hätten sogar besonders geschützt werden müssen."

Auf eine Anfrage von heise online reagierte ESA-Sprecher Michel van Baal umgehend. Er sagte: "Es handelt sich definitiv um einen Fehler, den wir schnell entdecken und beseitigen konnten." Die ESA nehme diesen Vorfall jedoch zum Anlass, in der gesamten Einrichtung nach ähnlichen Lücken zu suchen, um sicherzustellen, dass so etwas nicht mehr vorkommt.

Doch nicht nur die europäische Weltraumbehörde ESA hat das Problem nicht im Griff. Und auch die CDU im hessischen Obertshausen kämpfte schon seit einiger Zeit mit ungesicherten Systemen. Auch der Fachbereich Germanistik der Universität Mainz gab nach wenigen Klicks eine MS-Access-Datei mit den teilweise privaten Adressen der Professoren frei. [Update] Der zuständige Webmaster Björn Schwartz betont hingegen, dass lediglich Daten in einer Access-Datenbank zugänglich waren, bei denen die Betroffenen die Zustimmung zur Veröffentlichung gegeben hatten. [/Update]

Schon im Dezember stutzte Jürgen Weber, als er die Homepage seines CDU-Ortsvereins besuchte: Auf einer "Weihnachtsklausur" habe der Ortsverein festgestellt, dass der CDU-Ortsverein der NPD näher stünde als der SPD, stand in einem aktuellen Artikel zu lesen. "Völliger Unsinn", meint Weber, der Vorsitzender des Ortsvereins ist. "Abgesehen davon, dass so eine Behauptung im Wahlkampf rufschädigend ist, kann sie gar nicht stimmen, weil es in Obertshausen keine NPD gibt." Doch das wissen nur Ortskundige.

Wie jedoch konnte dieser Artikel auf die Homepage geraten? Die Homepage sei vor fünf Jahren aufgebaut worden, erzählt Weber, und das Content-Management-System sei dabei wohl nicht richtig abgesichert worden. Die ehrenamtlichen Mitglieder hätten sich auf die inhaltliche Arbeit konzentriert und seien technisch nicht richtig beraten worden. Ganz schnell ließe sich die Lücke auch nicht schließen, denn das ginge nur über einen Vorstandsbeschluss. Vor dem Kommunalwahlkampf im März, meint Weber, soll das Problem jedoch gelöst sein.

Sowohl bei der CDU, als auch bei der ESA war der Zugriff auf die Daten möglich, weil die Systeme schlecht und nicht den Regeln zum technischen und organisatorischen Datenschutz entsprechend gesichert waren. Peter Wedde gesteht den CDU-Administratoren jedoch zu, dass sie im "halbprofessionellen" Bereich technisch überfordert sind. Weddes Kritik wendet sich deshalb an die Hersteller der Datenbanksysteme: "Sie weisen auf diese spezifischen Möglichkeiten nach meiner Kenntnis nicht hin."

Doch über Google können nicht nur geschlossene Datenbanken abgefragt, sondern auch verwaiste Systeme ausfindig gemacht werden. Das sind Datenbanken, Zugriffsmöglichkeiten oder Web-Administrationsoberflächen, die irgendwann einmal zu Testzwecken aufgesetzt wurden, dann aber vergessen oder vernachlässigt wurden. "Suchtreffer auf solche Seiten liefern erst einmal keine brisanten Informationen und sind auf den ersten Blick eher unkritisch. Man kann diese Systeme aber ohne viel Kenntnisse für Spam- oder Denial-of-Service-Attacken missbrauchen", warnt Datenschutzexperte Wiegand. Er hat beobachtet, dass sich mit ein wenig Geschick und geringer Systemkenntnis sogar auch Informationen über Einwahlpasswörter zu weiteren Systemen finden lassen. Wiegand. "Mit diesen Daten kann man dann ganz gezielt Systeme manipulieren."

Google Hacks für Forschungszwecke sind übrigens nicht einmal strafbar, meint Rechtsexperte Peter Wedde. So werden beim Ansehen einer über Google gefundenen Seite weder Daten ausgespäht, weil dafür die Zugänge "besonders gesichert" sein müssten. Auch handelt es sich nicht um Computerbetrug, weil der Nutzer sich keinen Vermögensvorteil verschafft. Zudem werden bei Google Hacks weder Daten gelöscht, unterdrückt, verändert oder unbrauchbar gemacht. Und es handelt sich nicht um Computersabotage, da es keinen Vorsatz gibt, Datenträger zu zerstören, beschädigen, unbrauchbar zu machen, zu beseitigen oder zu verändern. (Christiane Schulzki-Haddouti) / (jk)