In den letzten Wochen gab es alle paar Tage Berichte in der Tagespresse über spektakuläre Hacks auf die Rechner von Unternehmen. Kürzlich musste sogar der Weltwährungsfonds eingestehen, unerwünschte „Gäste“ in seinen Systemen gehabt zu haben.
Und jetzt scheint die Schufa dran zu sein. Auf Gulli.com wurde über einen Angriff auf die Webserver der Wirtschaftsauskunftei berichtet, bei dem über Local File Inclusion Zugriffe auf dort vorhandene, aber nicht direkt zum Webangebot gehörende Daten möglich waren. Solche Attacken auf Webserver gehen üblicherweise Angriffen auf Systeme „weiter im Inneren“ einer Organisation voraus. Gleichzeitig sind sie aber auch Gradmesser für die Ernsthaftigkeit mit der eine Organisation IT-Sicherheit betreibt. Denn Webserver, die über leicht auffindbare Sicherheitslücken wie SQL Injection, File Inclusion und Cross-Site Scripting angegriffen werden können, deuten i.d.R. auf mangelndes operatives IT-Risikomanagement und fehlende Routinen zur sicherheitstechnischen Aktualisierung von außen erreichbarer Systeme hin. Der Hinweis an die Gulli-com-Redaktion kam von einer ungenannten Quelle und wurde von Sicherheitsexperten per Proof-of-Concept bestätigt. Auch Tagesschau.de griff das Thema auf und wies auf die Problematik der Kombination aus Massendatenspeicherung, fragwürdiger „Freiwilligkeit“ der faktisch erzwungenen Datenabgabe durch Verbraucher und scheinbar laxe Sicherheitsstandards bei der Schufa hin.
„Der Vorfall reiht sich in eine lange Reihe brisanter Sicherheitslücken ein und zeigt erneut, dass jede Form der personenbezogenen Datensammlung ein Sicherheitsproblem darstellt“, so Sebastian Nerz, angehender Informatiker und Bundesvorsitzender der Piratenpartei Deutschland in einer Pressemeldung. „Ob SCHUFA oder andere große Datenbestände wie die deutschen Zensusdaten, die digitalen Steuerdaten oder die Arbeitnehmer-Datenbank ELENA: Nur wenn Daten erst gar nicht gespeichert werden, sind sie vor unbefugten Zugriffen sicher. Datensparsamkeit muss daher oberstes Gebot sein. Leider ist diese Erkenntnis immer noch nicht in der Politik angekommen. Große Datenhalden werden nach wie vor als eine Lösung und nicht als Teil des Problems gesehen.“
Und die Daten der Schufa dürften in der Tat einen beträchtlichen Wert am Datenschwarzmarkt darstellen, falls es Hackern mit wirtschaftskriminellen Motiven gelänge sie zu erbeuten. Hat doch die Schufa eine monopolartige Position erreicht, die es Verbrauchern fast unmöglich macht, am täglichen Geschäftsverkehr teilzunehmen, ohne laufend standardisierte Schufa-Einwilligungsklauseln zu unterschreiben. Eine Praxis, die z.B. im Arbeitsrecht bereits dazu geführt hat, dass dort datenschutzrechtliche Einwilligungen aufgrund des Machtungleichgewichts zwischen Arbeitnehmern und Arbeitgebern als rechtlich unbeachtlich angesehen werden, da die „Freiwilligkeit“ ihres Zustandekommens bezweifelt wird. Die Schufa dürfte über einen deutschlandweit wohl einzigartigen Bestand an Finanzdaten fast aller Inhaber von Bankkonten, Handynutzern, Kreditnehmern oder Kartenzahlern besitzen. Die enormen Vorratsdatenbestände der privatwirtschaftlichen Schufa kamen nur durch die oligopolartige Stellung der Wirtschaftsauskunfteien zustande, die es Verbrauchern nahezu unmöglich macht, an ihnen vorbei Bankgeschäfte oder bargeldlose Zahlungen zu tätigen.
Eine solche Organisation ist aufgrund vieler Gründe ein herausforderndes Ziel für Hacker. Sei es als Versuch zu Ruhm und Anerkennung innerhalb der Szene zu kommen, sei es aus räuberischen Motiven, sei es im Rahmen eines Vergeltungsschlages gegen eine, ihrer Ansicht nach zu mächtig gewordene Organisation.
Die in der Überschrift gestellte Frage kann man mittlerweile als bereits beantwortet ansehen. Denn David Vieira-Kurz, der Gulli-com den Proof-of-Concept geliefert sowie die Schufa-Verantwortlichen gewarnt hat, berichtet auf seinem Blog Secalert.net dass die Schufa-Verantwortlichen ihm als Dank eine Flasche Sekt versprochen hatten, nachdem sie die Lücke im Webserver geschlossen hatten.
Unklar ist allerdings noch, ob nicht zwischenzeitlich auch Dritte die Lücke ausnutzen und sich Schufa-Daten beschaffen konnten.