130.000 MieterdatenWie ein Kölner Student die Sicherheitslücke der LEG fand
- Die Geschichte ist fast zu unglaublich, um wahr zu sein: Ein Kölner Informatikstudent hat gravierende Sicherheitslücken beim landesweit größten Immobilien-Unternehmen LEG entdeckt.
- Nur durch Zufall stieß der Mieter der LEG darauf, wie leicht er Zugriff auf alle 130.000 Daten von Mietern haben könnte.
- Als er die LEG auf das Problem hinwies, zeigte diese ihn kurzerhand an – wegen „krimineller Energie”.
- Hier erklärt David Kurz, wie er die Sicherheitslücke aufdecken konnte und wie es ihm mit der Strafanzeige geht.
Köln/Düsseldorf – David Kurz ist 25 Jahre alt, Informatik-Masterstudent und bald nicht mehr Mieter der Wohnungsgesellschaft LEG. Der Kölner, der an der Technischen Hochschule studiert, hat rund 700 Daten aus dem Mieterportal der LEG, einem der landesweit größten Immobilienunternehmen, geöffnet – mit einem simplen Trick hätte er Zugriff auf rund 130.000 Mietverhältnisse haben können.
Von Anschrift und Wohnungsgröße bis Nebenkostenabrechnung und Guthaben. Er nutzte diese Daten nicht missbräuchlich, sondern veröffentlichte auf seiner Internetseite einen Bericht, in dem er auf die Sicherheitsprobleme der Wohnungsbaugesellschaft hinwies. Die LEG hat daraufhin Strafanzeige gegen ihn gestellt.
Sie sieht in dem Eingriff keine Sicherheitshilfe, sondern „kriminelle Energie“, wie es in einer Mitteilung heißt.
Im Gespräch mit dem „Kölner Stadt-Anzeiger“ erklärt Kurz seine Aktion und sein Unverständnis gegenüber der LEG: „Ich habe am 1. Juli meine Wohnung bei der LEG persönlich gekündigt“, erzählt Kurz von den Anfängen, „am Tag darauf wollte ich online nachsehen, ob meine Kündigung auch eingegangen ist.“ Der Informatikstudent bemerkte, dass in der Adresszeile der Internetseite auch seine eigene Vertragsnummer angegeben war. „Das kam mir sehr komisch vor“, so Kurz, „zum Test habe ich eine Ziffer in der Adresszeile geändert. Und schon hatte ich Zugriff auf die gesamten Mietdaten einer komplett fremden Person.“ Das Sicherheitssystem war geknackt, weil es nie eins gab.
„Wenn man die richtige Vertragsnummer erraten hat, hätte man Zugriff auf alle 130.000 Mietverhältnisse haben können“, beschreibt Kurz die Ausmaße seiner Entdeckung. Er sammelte rund 700 Daten, etwa 0,5 Prozent des gesamten Bestandes und wandte sich an die Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI) in Düsseldorf. Diese sorgt für Sicherheit in Unternehmen und schützt Daten von Bürgerinnen und Bürgern.
Das könnte Sie auch interessieren:
Diesen Vorgang bestätigt auch die LEG. Der Kontakt zur Datenschutzbeauftragten des Wohnunternehmens habe aber laut LEG viel zu spät stattgefunden. „Somit hat er uns die Möglichkeit verwehrt, den potenziellen Angriffspunkt schnellstmöglich zu schließen“, heißt es in einer Mitteilung. Deshalb die Strafanzeige gegen Kurz.
Für Kurz ein rechtlich unverständlicher Vorgang: „Das ist wie im Mittelalter. Der Überbringer der schlechten Nachricht wird geköpft.“ Er habe nie ein Interesse am Datenmissbrauch gehabt. „Ich wollte vor allem, dass meine eigenen Daten, die ja ebenfalls in dem ungesicherten Portal hinterlegt waren, sicher sind. Außerdem wollte ich auch die anderen Mieter informieren“, sagt er. Der LEG wirft er vor, ihn in ein schlechtes Licht zu rücken, um von eigenen Sicherheitsversäumnissen abzulenken.
Mieterportal abgeschaltet
Um die Sicherheitslücke zu schließen, schaltete die LEG in der Folge das Mieterportal für einige Zeit ab. Mittlerweile sollen die Probleme beseitigt sein, das Portal ist wieder online. Für Kurz wird die Geschichte jedoch weitergehen. Die LEG beharrt darauf, dass seine Aktion ein unrechtmäßiger Eingriff in ihr System gewesen sei. Der Student sagt: „Ich wollte nur sichere Daten und meine Semesterferien genießen.“ Ab September wohnt er in einer neuen Wohnung. Nicht mehr bei der LEG.