- Landratsamt bestätigt: Daten waren ungesichert im Netz
- 56.000 Privatpersonen und fast Tausend Unternehmen betroffen
- Daten über Google-Suchen zu finden
- Zweiter Datensatz enthielt einige E-Mailadressen und Anschriften
- Kombination der Datenlecks "tut weh"
- Missbrauch möglich: Experte rät Passwort ändern
- Reaktion auf Veröffentlichung: Landrätin Marion Dammann entschuldigt sich
- Weitere Datenlecks in Baden-Württemberg
Landratsamt bestätigt: Daten waren ungesichert im Netz
Nur eine Google-Suche und zwei Klicks entfernt: Monatelang waren flächendeckende Daten von Grundbesitzerinnen und -besitzern im Landkreis Lörrach ungeschützt im Internet zu finden. Das dokumentieren Recherchen des SWR Data Lab. Zwar hat es offenbar Hinweise aus der Bevölkerung gegeben. Ob und wann diese Hinweise beim Landratsamt ankamen, ist bislang unklar.
Das Landratsamt stellte das Datenleck direkt ab, nachdem der Landesdatenschutzbeauftragte es auf den Verstoß hingewiesen hatte. Man habe die Informationen des Landesdatenschutzbeauftragten am 4. Januar erhalten und das Leck am 5. Januar geschlossen, heißt es seitens des Landratsamtes.
Die betroffenen Grundbesitzerinnen und -besitzer wurden aber zunächst nicht unmittelbar informiert. Denn offensichtlich war den Behörden das Ausmaß des Datenlecks nicht bewusst. Erst die detaillierte Anfrage des SWR im Landratsamt löste eine öffentliche Mitteilung aus. Ob die Daten in die Hände von Betrügern geraten sind, lässt sich nicht klären.
56.000 Privatpersonen und fast Tausend Unternehmen betroffen
Ein Hinweisgeber hatte den SWR über das Datenleck informiert. Das SWR Data Lab hat daraufhin die ungeschützten Zugangswege verifiziert. Anfang Januar waren demnach zwei Datensätze offen im Netz zu finden. Dies hat das Landratsamt mittlerweile in einer Stellungnahme auf Anfrage des SWR bestätigt.
Dem SWR Data Lab liegen die vollständigen Datensätze mit mehr als 200.000 Flurstücken vor, aus denen sich Grundstücke zusammensetzen. Eine Analyse der Daten zeigt: Es sind alle Grundbesitzerinnen und -besitzer im Landkreis Lörrach betroffen, darunter etwa 960 Unternehmen und mehr als 56.000 Privatpersonen. Die Daten beinhalten die geografische Lage und die Größe des jeweiligen Flurstücks, den vollen Namen sowie in den meisten Fällen das Geburtsdatum der Eigentümerin oder des Eigentümers. Über Monate lagen diese Daten offen, obwohl der Landesdatenschutzbeauftragte nach SWR-Recherchen bereits Anfang November auf die Probleme hingewiesen wurde.
Im internen Behördensystem sind zu den grundsätzlich öffentlichen Informationen des Liegenschaftskatasters zusätzliche Daten über Grundbesitzerinnen und -besitzer gespeichert. Diese sollten passwortgeschützt sein, waren sie aber nicht. Torben Pahl, Sprecher des Landratsamts Lörrach, erklärte dem SWR: "Dass der Passwortschutz zu einem späteren Zeitpunkt nicht mehr vorhanden war, lag an einer fehlerhaften Einstellung unsererseits." Wie es zu diesem Fehler kam und seit wann er bestand, kann das Landratsamt nicht mehr nachvollziehen. Offenbar war ein menschlicher Fehler Schuld: Ein Häkchen wurde falsch gesetzt und dadurch der Passwortschutz aufgehoben.
Daten über Google-Suchen zu finden
Dass die Daten für alle öffentlich abrufbar waren, erfährt das Landratsamt aus der Mitteilung des Landesdatenschutzbeauftragten nicht, obwohl dieser nach SWR-Recherchen bereits über den einfachen Zugang informiert war. Erst als das SWR Data Lab die Pressestellen mit dem Ausmaß des Datenlecks konfrontiert, sieht sich das Landratsamt gezwungen, öffentlich zu reagieren. Es veröffentlicht eine Pressemitteilung.
Gespeichert waren die Daten in einer internen Mitarbeiterversion des Geoportals beim Landratsamt Lörrach. Durch die fehlerhaften Einstellungen konnten sie allerdings auch systematisch über öffentliche Suchmaschinen und mit Hilfe einer kostenlosen Geoinformationssoftware aufgerufen werden. Das SWR Data Lab hat diese Zugriffsmöglichkeiten technisch verifiziert. Demnach konnten Betrüger die Daten selbst mit einfachen technischen Methoden abgreifen. Ob das geschehen ist, lässt sich nicht nachvollziehen. Sprecher Torben Pahl erklärte: "Diese Möglichkeit wurde von uns nicht geprüft, hätte aber geprüft werden sollen."
Diese Möglichkeit wurde von uns nicht geprüft, hätte aber geprüft werden sollen.
Zweiter Datensatz enthielt einige E-Mailadressen und Anschriften
Auf die gleiche Weise war auch ein zweiter Datensatz zu finden. Er stammt aus dem Meldeportal für Starkregen- und Erosionsereignisse. Dort waren etwa 15 E-Mail-Adressen und zum Teil Adressen von Wohnhäusern zu finden, deren Keller bei Starkregen überflutet wurden. Ein Problem, dass nach SWR-Recherchen dem Landesdatenschutzbeauftragten bereits Mitte Oktober gemeldet wurde. Auch hier blieb das Datenleck monatelang bestehen.
Bei den Daten handelt es sich zwar nicht um sensible Daten wie etwa Gesundheitsdaten, politische Meinungen oder die sexuelle Orientierung. Dennoch warnt das Landratsamt selbst: Die Daten könnten "grundsätzlich für betrügerische Vorhaben genutzt werden".
Kombination der Datenlecks "tut weh"
Prof. Dr. Christoph Sorge, Leiter des Lehrstuhls Rechtsinformatik an der Universität Saarland, bewertet die Datenlecks als problematisch: "Eine rechtliche Grundlage, die Daten zu veröffentlichen, dürfte es nicht geben. Ohne Namen und Geburtsdaten ist die Information meines Wissens ohnehin öffentlich, aber es ist ja gerade die Verknüpfung, die wehtut."
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) erklärt, dass Datenlecks wie das in Lörrach die "Gefährdungslage im Real-Life" erhöhen können. Eine Sprecherin erklärt, es sei für Kriminelle möglich, sich mit gestohlenem Wohnort und Namen als falsche Amtsperson auszugeben.
Missbrauch möglich: Experte rät Passwort ändern
Auch online könnten Identitäten missbraucht werden. Die Datenlecks in Kombination würden sogar Rückschlüsse auf Passwörter oder Benutzernamen ermöglichen und anschließend in passwortgeschützten Portalen unberechtigte Transaktionen erlauben.
Datenschutz-Experte Christoph Sorge rät: "Wenn jemand sein Geburtsdatum oder das seiner Frau als Passwort verwendet, wäre das eine Gelegenheit, das zu überdenken."
Wenn jemand sein Geburtsdatum oder das seiner Frau als Passwort verwendet, wäre das eine Gelegenheit, das zu überdenken.
Prof. Dr. Roland Schmitz ist IT-Sicherheitsexperte an der Hochschule der Medien in Stuttgart. Er warnt vor gezielten Phishingmails und rät: "Betroffene sollten sehr vorsichtig mit Mails oder Anrufen sein, die angeblich von den Stadtwerken oder Ähnlichem kommen und sich im Zweifel telefonisch rückversichern."
Reaktion auf Veröffentlichung: Landrätin Marion Dammann entschuldigt sich
Lörrachs Landrätin Marion Dammann entschuldigt sich bei den Bürgerinnen und Bürgern und bedauert, dass es zu diesem Datenleck überhaupt gekommen ist. Nach Bekanntwerden des Lecks wurde es nach Angaben der Behörde am 5. Januar geschlossen. 15 Bürgerinnen und Bürger, die sich an einem Meldeportal zu Hochwasserereignissen beteiligt hatten, wurden direkt angeschrieben und informiert, dass ihre Daten einsehbar waren.
Weitere Datenlecks in Baden-Württemberg
Die Prüfungen der Schwere der Datenlecks ist aktuell noch nicht abgeschlossen. Deshalb äußert sich der Landesdatenschutzbeauftragte in Baden-Württemberg aktuell nicht zu den Datenlecks in Lörrach.
Nach SWR-Recherchen ist allerdings klar: Lörrach ist nicht der einzige Fall, bei dem Unbefugte Zugriff auf verschiedene Daten interner Geoportale von Landkreisen haben. Dem SWR Data Lab sind mindestens fünf weitere Datenlecks bekannt.
Sind Sie betroffen und haben Hinweise auf den Missbrauch Ihrer Daten? Dann melden Sie sich: datalab@SWR.de
