Das Unternehmen HSH Soft- und Hardware Vertriebs GmbH betreibt die Internetseite www.meldebehoerde.de. Sie vermittelt einen Überblick über die vom Unternehmen angebotenen E-Government-Lösungen. Unter anderem befindet sich auf dieser Internetseite, auf der ausschließlich Test-, also keine Echtdaten verwendet werden, auch ein Link zu der Demoversion der Online-Gewerberegisterauskunft.
Bei der Mausbewegung über diesen Link waren aufgrund einer Unachtsamkeit die Zugangsdaten für das Informationsregister, der Datenbank, auf der die verschiedenen E-Government-Anwendungen aufsitzen, im Klartext lesbar - zwischen 15. März und 20. Juni 2008.
Alle E-Government-Anwendungen des Unternehmens werden mit diesen voreingestellten Zugangsdaten - Benutzername und Passwort - ausgeliefert, bei den Anwendern vor Ort installiert. Wenn nach der Installation das Auslieferungspasswort und der Benutzername in der Echtanwendung vom Betreiber nicht geändert wurde, war es möglich, mit den voreingestellten Zugangsdaten auf das Informationsregister zuzugreifen und Einwohnerdaten unberechtigt zu lesen.
Betroffen waren von 40 Betreibern des Informationsregisters mit 425 Anwendern in den Kommunen einige wenige - nach derzeitiger Recherche durch das Unternehmen 15 Anwender im gesamten Bundesgebiet außer im Freistaat Bayern. Alle unberechtigten Zugriffe sind protokolliert und konnten nachvollzogen werden. In lediglich drei brandenburgischen Kommunen wurden einzelne Einwohnerdaten mit dem Auslieferungspasswort abgefragt.
Nach Bekanntwerden dieser Sicherheitslücke hat das Unternehmen umgehend reagiert und die Anzeige der Zugangsdaten auf der Internetseite beseitigt.
Ebenso wurden die betroffenen Anwender und Kommunalverwaltungen sofort informiert und gebeten, ohne Verzögerungen die Zugangsdaten zum Informationsregister zu ändern. Darüber hinaus hat das Unternehmen den betroffenen Anwendern seine volle Unterstützung bei der Auswertung der unauthorisierten Auskunftsersuchen angeboten. Ursache für das zeitweise aufgetretene Sicherheitsproblem waren nicht die Online-Anwendungen, sondern ist letztlich der Faktor Mensch: Alle E-Government-Anwendungen wie Online-Melderegisterauskunft, Online-Anträge oder -auskünfte sind nach wie vor sicher und halten die datenschutzrechtlichen Bestimmungen konsequent ein.
Bei der Mausbewegung über diesen Link waren aufgrund einer Unachtsamkeit die Zugangsdaten für das Informationsregister, der Datenbank, auf der die verschiedenen E-Government-Anwendungen aufsitzen, im Klartext lesbar - zwischen 15. März und 20. Juni 2008.
Alle E-Government-Anwendungen des Unternehmens werden mit diesen voreingestellten Zugangsdaten - Benutzername und Passwort - ausgeliefert, bei den Anwendern vor Ort installiert. Wenn nach der Installation das Auslieferungspasswort und der Benutzername in der Echtanwendung vom Betreiber nicht geändert wurde, war es möglich, mit den voreingestellten Zugangsdaten auf das Informationsregister zuzugreifen und Einwohnerdaten unberechtigt zu lesen.
Betroffen waren von 40 Betreibern des Informationsregisters mit 425 Anwendern in den Kommunen einige wenige - nach derzeitiger Recherche durch das Unternehmen 15 Anwender im gesamten Bundesgebiet außer im Freistaat Bayern. Alle unberechtigten Zugriffe sind protokolliert und konnten nachvollzogen werden. In lediglich drei brandenburgischen Kommunen wurden einzelne Einwohnerdaten mit dem Auslieferungspasswort abgefragt.
Nach Bekanntwerden dieser Sicherheitslücke hat das Unternehmen umgehend reagiert und die Anzeige der Zugangsdaten auf der Internetseite beseitigt.
Ebenso wurden die betroffenen Anwender und Kommunalverwaltungen sofort informiert und gebeten, ohne Verzögerungen die Zugangsdaten zum Informationsregister zu ändern. Darüber hinaus hat das Unternehmen den betroffenen Anwendern seine volle Unterstützung bei der Auswertung der unauthorisierten Auskunftsersuchen angeboten. Ursache für das zeitweise aufgetretene Sicherheitsproblem waren nicht die Online-Anwendungen, sondern ist letztlich der Faktor Mensch: Alle E-Government-Anwendungen wie Online-Melderegisterauskunft, Online-Anträge oder -auskünfte sind nach wie vor sicher und halten die datenschutzrechtlichen Bestimmungen konsequent ein.
