Bild: flickr User Dani Latorreani Latorre ist lizensiert unter CC BY-SA 2.0
{flickr photo=6437570877 align=left vspace=5 hspace=5} Nach Recherchen des Hessischen Rundfunks bestand bei der von einem externen IT Dienstleister entwickelten und von der Stadt Frankfurt genutzten Online-Plattform zur Beantragung von Anwohnerparkausweisen durch eine Datenschutzlücke die Möglichkeit zur missbräuchlichen Abfrage von Daten des Frankfurter Einwohnermeldeamtes.
Ich frage den Magistrat:
Ist es zu mutmaßlich missbräuchlichen Datenabfragen gekommen, die sich beispielsweise durch gehäufte Eingaben in kurzen Zeitabständen ohne abschließende Beantragung eines Ausweises erkennen lassen, und mit welchen Maßnahmen soll das zukünftig verhindert werden?
Antwort:
Der Magistrat bestätigt, dass ein Angreifer - nach eigenem Bekenntnis in der Hessenschau vom 03.01.2018 handelt es sich um Herrn Markus Drenger vom Chaos Computer Club Darmstadt - das Online-Antragsverfahren für den Bewohnerparkausweis missbräuchlich genutzt hat. Der Angreifer hat sich zunutze gemacht, dass das Verfahren automatisch die Schlüssigkeit der eingegebenen Daten überprüft.
Sämtliche Daten wurden vom Angreifer eingegeben; die erforderliche Prüfung der Antragstellerangaben über das Einwohnermeldeverfahren meldet an das Online-Antragsverfahren zurück, ob die vom Antragsteller eingegebenen Daten gültig sind. Es wurden zu keiner Zeit Daten des Einwohnermeldeverfahrens an den Online-Antragsprozess übertragen. Das Ergebnis der Prüfung der Antragsdaten auf Übereinstimmung mit den Meldedaten ist nicht im Einwohnermeldeverfahren gespeichert; von daher wurden keine Daten aus dem Einwohnermeldeverfahren entwendet.
Weiter ist zu bestätigen, dass der Angreifer automatisiert eine Vielzahl variierter Eingaben in den Online-Antrag vorgenommen hat. Er hat dabei weitgehend Daten vorgegeben (Name, Adresse, Geburtsjahr), um die sehr hohe Anzahl sonst notwendiger Abfragen zu reduzieren.
Es ist ebenfalls zutreffend, dass die jeweilige Beantragung des Bewohnerparkausweises vom Angreifer nicht abgeschlossen wurde.
Die beteiligten Stellen - darunter das Referat Datenschutz und IT-Sicherheit - haben sich darüber abgestimmt, mit welchen Sofortmaßnahmen die Vorgehensweise des Angreifers unterbunden werden kann. Zu den getroffenen Maßnahmen gehört eine Limitierung der Änderungen der Antragstellerdaten. Die getroffenen Maßnahmen können im Einzelfall Komforteinbußen bei der Antragstellung für unbeteiligte Dritte bedeuten. Es findet daher eine weitergehende Abstimmung der beteiligten Stellen über weitere mögliche technische und organisatorische Maßnahmen statt.