Sicherheitslücke in Software Datenleck bei Plattform für Cannabis-Clubs
Daten Hunderter Cannabis-Clubs waren nach Kontraste-Informationen öffentlich einsehbar. Aufgedeckt hat das Leck ein Kollektiv aus Sicherheitsforschern. Kritiker warnen schon länger vor Datenschutzproblemen.
Am 1. April haben sich am Brandenburger Tor hunderte Cannabis Konsumenten zum gemeinsamen "Ankiffen" versammelt - demonstrativ vor zahlreichen Kameras. Während sie ihren Konsum freiwillig zur Schau stellten, wurde eine vierstellige Zahl von Cannabis-Nutzern offenbar unfreiwillig enttarnt. Ihre Daten waren laut Recherchen des ARD-Politikmagazins Kontraste offen zugänglich. Wie konnte es dazu kommen?
Seit April sind Konsum, Besitz und Eigenanbau teillegalisiert. Ab Juli darf Cannabis auch in sogenannten Anbauvereinigungen gemeinschaftlich gezogen werden. Seit Bekanntwerden des Gesetzesvorhabens formieren sich eine Vielzahl solcher Cannabis-Clubs. Sie suchen nach Anbauflächen und Systemen, um ihre Mitglieder zu verwalten.
Denn sie sind laut dem neuen Cannabis-Gesetz verpflichtet, umfassende Daten ihrer Mitglieder zu dokumentieren. Namen, Geburtsdaten und Adressen müssen in einer Datenbank geführt werden. Jedes Mal, wenn diese Cannabis beziehen, müssen Datum, Menge und THC-Gehalt dokumentiert und für fünf Jahre verwahrt werden.
Namen, Mail-Adressen und Geburtsdaten waren sichtbar
Die Software "Canguard" der Firma ThingBring mit Sitz im niedersächsischen Hameln verspricht den Cannabis-Clubs eine einfache Lösung: "Euer Club, eure Daten" - so bewarb der Anbieter die vermeintliche Sicherheit der Software auf seiner Website. Nach Kontraste-Informationen soll es hier zu einem umfassenden Datenleck gekommen sein.
So waren offenbar die Namen, E-Mail-Adressen, Geburtsdaten, Postleitzahlen und gehashte Passwörter von "Canguard"-Nutzerkonten für Dritte zugänglich. Außerdem war wohl öffentlich nachvollziehbar, ob ein Nutzerkonto "Besitzer" oder "Mitglied" eines Cannabis-Clubs ist. Darüber hinaus soll es möglich gewesen sein, Nutzerkonten sowie Anbauvereinigungen von Dritten zu bearbeiten und dadurch sogar in technischer Hinsicht zu übernehmen. Aufgedeckt hat die Sicherheitslücke das Hackerkollektiv "Zerforschung".
Betroffene bleiben lange im Unwissen
Laut Kontraste-Informationen informierte "Zerforschung" das Software-Unternehmen bereits am Mittwoch vor Ostern über das Datenleck und beschrieb die Sicherheitslücke detailliert. Die betroffenen Clubbetreiber erfuhren aber offenbar erst nach Ostern von einem Sicherheitsvorfall. Selbst eine Woche nach dem Hinweis von "Zerforschung" an das Unternehmen schienen die Clubbetreiber noch nichts über das Ausmaß des Datenlecks zu wissen.
In einem Blogpost schreibt das Hackerkollektiv, die Software stecke "erkennbar noch in den Kinderschuhen", und kritisiert: "Wenn ein Produkt marktreif genug ist, um Kund*innen-Daten zu speichern, muss sie auch reif genug sein, diese für sich zu behalten." Doch nicht nur das: Im Falle eines Datenlecks sind die Verantwortlichen verpflichtet, den Sicherheitsvorfall binnen 72 Stunden bei dem zuständigen Landesbeauftragten für Datenschutz (LfD) zu melden. Noch ungeklärt ist, ob die ThingBring GmbH das Datenleck selbst an den LfD hätte melden müssen.
Womöglich verarbeitet die Firma in rechtlicher Hinsicht nur die Daten der Clubs - in dem Fall hätten die Clubs selbst Meldung beim jeweiligen LfD machen müssen. In jedem Fall hätte ThingBring die Clubbetreiber unverzüglich informieren müssen. Beim niedersächsischen LfD war eine Woche nach dem Hinweis des Hackerkollektivs an ThingBring noch keine Meldung zu dem Vorfall eingegangen, wie dieser Kontraste auf Anfrage mitteilte.
ThingBring will nun Sicherheitsstandards überprüfen
Der Betreiber der Software, die ThingBring GmbH, teilte auf Anfrage mit, es finde eine Überprüfung der Sicherheitsstandards und möglicher Konsequenzen statt. "Es waren Daten abfließbar für Leute, die sich damit auskennen", sagte Geschäftsführer Lennart Schneider im Gespräch mit Kontraste. Er könne aber keine Aussage darüber treffen, welche und wie viele Daten einsehbar waren.
Schneider räumte ein, dass versäumt wurde, das Datenleck beim Landesbeauftragten zu melden. Er kündigte an, personelle Konsequenzen zu prüfen. Einen Tag nach dem Telefonat mit Kontraste nahm der Betreiber die Software offline und meldete die Sicherheitslücke beim niedersächsischen LfD. Nach Kontraste-Informationen wurden dann auch die Clubbetreiber über das vollständige Ausmaß der Sicherheitslücke informiert.
Kritiker äußern große Datenschutzbedenken
Datenschützer sehen die Pflicht zur umfassenden Daten-Speicherung kritisch: Für David Werdermann von der Gesellschaft für Freiheitsrechte kommen die Dokumentationspflicht und lange Speicherzeit einer privaten Vorratsdatenspeicherung gleich, die wie eine Einladung zum Missbrauch wirke.
Datenlecks ließen sich nie vollständig vermeiden. Schon ein einziger Club produziere enorme Datenmengen. "Wenn nun über eine Software auf die Daten mehrerer Anbauvereinigungen zugegriffen werden kann, sind das riesige Datensätze", so Werdermann zu Kontraste. "Das Interesse von Versicherungen und Datenhändlern wird dann umso größer, dass diese Daten abfließen."
Die Datensicherheit werde im Gesetz nicht ausreichend behandelt. Es finde sich dazu nur eine kurze Passage in der Gesetzesbegründung. "Wenn der Gesetzgeber schon so umfassende Dokumentationspflichten vorschreibt, hätten wir uns auch strengere Vorgaben für die Datensicherheit gewünscht", so Werdermann.
Behörden erhalten tiefen Einblick
Ist das Datenleck also nur ein Vorgeschmack auf die Durchleuchtung von Cannabis-Konsumenten? Das Gesetz räumt staatlichen Behörden weitreichenden Zugriff auf die erfassten Daten ein. Die Clubs sollen durch Landesbehörden regelmäßig kontrolliert werden.
Dabei erhält die kontrollierende Behörde Dokumente in Kopie und darf persönlichen Daten bis zu zwei Jahre speichern. Im Falle von Ordnungswidrigkeiten oder Straftaten können diese Daten auch an Sicherheitsbehörden weitergegeben werden.
Auf Cannabis-Konsumenten wirke das abschreckend, sagte Oliver Waack-Jürgensen vom Cannabis Social Club Dachverband Deutschland. "Der legale Weg scheint vielen so zu riskant. Dadurch wird es schwieriger, den Schwarzmarkt auszutrocknen, so wie das Gesetz es eigentlich will", so Waack-Jürgensen zu Kontraste. Auch wenn es sich bei dem Sicherheitsvorfall bei Canguard um ein vergleichsweise kleines Datenleck handelt, zeigt es: Wer Daten sammelt, wird Daten ernten.