Student deckt Datenleck eines großen Wohnungsunternehmens auf
Hat sich ein Informatikstudent strafbar gemacht, indem er eher zufällig einen erheblichen Datenschutzverstoß entdeckte oder ist der Verantwortliche nach der DSGVO derjenige, der wegen der Sicherheitslücke mit erheblichen Folgen rechnen muss? Diese Fragen soll der nachfolgende Beitrag in drei Teilen beleuchten.
Teil II: Wie ist der Fall datenschutzrechtlich einzustufen und was sind die möglichen Folgen?Teil III: Hat sich David Kurz strafbar gemacht?
Was war passiert?
David Kurz, Masterstudent der Informatik aus Köln, ist seit Mitte 2016 Mieter einer Wohnung der Düsseldorfer LEG-Gruppe. Da er in Kürze in eine andere Wohnung umzieht, kündigte er Ende Juni seine Wohnung bei der LEG.
Die LEG bietet ihren Mietern seit etwa anderthalb Jahren einen besonderen Service: Über ein nur für Mieter zugängliches Portal (www.portal.leg-wohnen.de) können diese verschiedene, das Mietverhältnis betreffende Dokumente wie Mietbescheinigungen, Mietkonto u. ä., abrufen.
Dieses Portal nutzte auch Kurz am Abend des 02.07.2019, um zu sehen, ob seine Kündigung eingegangen war. Diese fand er auch prompt, aber dann fiel ihm noch etwas anderes auf: In der Adresszeile seines Browsers stand seine Vertragsnummer in Klarschrift. Das sah so aus:
www.portal.leg-wohnen.de/jaguar/docs/get-document-by-rest/d/001/c/1234_4321.0001.03
Als er nun einfach probehalber die letzte Ziffer um den Wert 1 verringerte und diese geänderte Adresse absendete, bekam er unmittelbar sämtliche Dokumente des Vormieters seiner Wohnung zu sehen. Neben den Adress- und Kontaktdaten der Mieter fanden sich dort auch weitere zum Teil recht sensible Daten wie Auszüge aus dem Mietkonto oder ein Dokument der Arbeitsagentur zur Anmeldung einer Sozialwohnung.
Daten zehntausender Mieter zugänglich
Seinen eigenen Angaben zufolge probierte Kurz, um feststellen zu können, auf wie viele mögliche Datensätze mit personenbezogenen Daten er auf diese Weise zugreifen kann, mehrere Änderungen an der Vertragsnummer händisch aus. Später habe er dann eine Open-Source-Software eingesetzt, um nachweisen zu können, dass sämtliche in dem Mieterportal abgelegten Datensätze auch automatisch hätten heruntergeladen werden können. Dabei habe er insgesamt rund 700 verschiedene Datensätze heruntergeladen ohne dass er durch irgendwelche Sperren daran gehindert worden sei.
Im Wissen, dass die LEG nach eigenen Angaben rund 134.000 Wohnungen an zirka 360.000 Bewohner vermietet, das Portal theoretisch allen aktuellen Mietern zugänglich ist und dort auch Datensätze von vormaligen Mietverhältnissen abgelegt sind, ging Kurz von einer massiven Sicherheitslücke aus, durch die mit einfachsten Mitteln personenbezogene Daten von zehntausenden Mietern der LEG von jedermann abgerufen werden können, die Zugang zu dem Mieterportal haben und das könnten theoretisch alle aktuellen Mieter sein.
Meldung des Datenschutzverstoßes
Da die Hotline der LEG um diese Zeit nicht mehr erreichbar war, meldete Kurz den Datenschutzverstoß gegen 22:15 Uhr, also etwa zwei Stunden nach seiner Entdeckung, über das dafür vorgesehene Beschwerdeformular an die Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen. Einer der Gründe für diese unverzügliche Meldung war, dass auch seine eigenen Daten als Mieter einer LEG-Wohnung betroffen waren, er also befürchten musste, dass seine Daten ebenfalls in die Hände Unbefugter gelangen könnten.
Etwa zur gleichen Zeit veröffentlichte Kurz einen Beitrag zu dieser Sicherheitslücke auf seiner Website, machte aber keine Angaben dazu, wie man diese Sicherheitslücke ausnutzt und anonymisierte die dort abgebildeten Datensätze. Den Link zu diesem Beitrag stellte er wiederum nur wenige Minuten später auf Twitter ein, wo er gegen 23:00 Uhr von einem Manager der LEG bemerkt wurde.
Die Reaktion der LEG ließ nicht lange auf sich warten. Wie man vermuten konnte, war das Mieterportal bereits am Vormittag des nächsten Tages offline. Es wurde am Nachmittag desselben Tages wieder online geschaltet, obgleich die nun vorgenommene Sicherung gegen den unbefugten Zugang erneut unzureichend war. Um die LEG auf diese neuerliche Panne aufmerksam zu machen, ergriff Kurz ein weiteres Mal die Initiative und rief die Hotline an. Nachdem er etwa 30 Minuten in der Warteschleife Zeit totschlagen musste, informierte er die LEG über die neuerliche Sicherheitslücke. In der Folge wurde das Portal dann ein weiteres Mal in den Wartungsmodus gestellt und die Sicherheitslücke endgültig geschlossen.
Womöglich weitere Wohnungsunternehmen betroffen
Anzumerken ist noch, dass das Mieterportal von einem externen Unternehmen im Auftrag der LEG betrieben wird, welches gleichartige Mieterportale für mindestens 17 Wohnungsunternehmen und Wohnungsbau-Genossenschaften in ganz Deutschland bereitstellt und betreibt. Nachdem Kurz auf seiner Website die These aufgestellt hatte, dass wohl auch andere Unternehmen von dieser Sicherheitslücke betroffen sein könnten, waren am 04.07.2019 alle Mieterportale der angegebenen Unternehmen in den Wartungsmodus gewechselt. Dies legt die Vermutung nahe, dass wohl auch alle anderen Wohnungsunternehmen, deren Mieterportale von diesem externen Dienstleister betrieben werden, von der Sicherheitslücke betroffen waren. Das Risiko einer massiven Sicherheitslücke, von der hunderttausende Bundesbürger/-innen betroffen sind, war zu diesem Zeitpunkt daher sehr hoch.
LEG unterstellt dem Studenten kriminelle Energie
Man sollte nun weiterhin annehmen, dass die LEG, als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO sehr dankbar gewesen sein muss, dass sie von jemandem auf diese massive Sicherheitslücke aufmerksam gemacht worden ist, der weder aus finanziellen, noch aus kriminellen Motiven (Erpressung , Handel mit Daten usw.) handelte, sondern lediglich dafür sorgen wollte, dass diese Sicherheitslücke, welche auch seine Daten gefährdete, so schnell wie möglich geschlossen wird.
Weit gefehlt, denn die LEG fand das Handeln des Studenten keineswegs so lauter, wie man es angesichts des dargestellten Sachverhalts eigentlich unterstellen müsste. Nach Ansicht der LEG habe sich ein Mieter „mit unerlaubten Mitteln Zugriff“ zu einem Teil der Mieterdaten „durch Manipulation“ an deren Mieterportal verschafft. Der Täter habe „einen potenziellen Angriffspunkt des Portals mit krimineller Energie ausgenutzt“. Mit genau diesen Worten wandte sich die LEG am 04.07.2019 in einem Brief an die Mieterinnen und Mieter, deren Datensätze Kurz heruntergeladen hatte. Weiter schreibt die LEG in diesem Brief, dass sie, genau wie die Mieter/-innen, Geschädigte des Vorfalls bzw. der Straftat seien. Überdies hätten nach Ansicht der LEG keine Datensätze ohne Weiteres eingesehen werden können. Vielmehr habe es einer tiefen IT-Kenntnis bedurft, um einzelne Datensätze anderer Nutzer des Portals einsehen zu können. Und man selbst habe selbstverständlich die zuständige Aufsichtsbehörde informiert. Fast schon zynisch mutet es an, dass Kurz als „betroffener Mieter“ dieses Schreiben ebenfalls erhielt.
„Last, but not least“ hat die LEG eigenem Bekunden nach rechtliche Maßnahmen gegen David Kurz ergriffen. Man darf davon ausgehen, dass die LEG damit (auch) meint, eine Strafanzeige gegen Kurz gestellt zu haben. In Konsequenz zu der in dem Brief dargestellten Auffassung der LEG von der Verteilung der Täter-/Opfer-Rollen war das dann aber auch schon wieder zu erwarten.
Was ist nun rechtlich von diesem Vorgang zu halten? Hat sich David Kurz rechtmäßig verhalten? Ist die LEG tatsächlich ein Opfer? Was sind die Konsequenzen?