Datenpanne bei Online-Anträgen auf Anwohner-Parkausweisen

erstellt von dieDatenschützer Rhein Main — zuletzt geändert 2018-02-03T19:48:59+01:00
Magistrat der Stadt Frankfurt verdreht Ursache und Wirkung und nennt Hinweisgeber “Angreifer”

Markus Drenger, aktives Mitglied des Darmstädter Chaos Computer Club, hat Anfang Januar 2018 feststellt, dass die Online-Plattform, über die die Städte Frankfurt, Offenbach und Neu-Isenburg ihren Einwohnern Anträge auf Anwohner-Parkausweise möglich machte, eine Sicherheitslücke aufweist. Die Hessenschau berichtete dies am 04.01.2018.

Jessica Purkhardt, Stadtverordnete der Grünen, nahm die Medienberichte zum Anlass für eine Anfrage in der Stadtverordnetensitzung am 01.02.2018. Ihre Frage: “...Ist es zu mutmaßlich missbräuchlichen Datenabfragen gekommen, die sich beispielsweise durch gehäufte Eingaben in kurzen Zeitabständen ohne abschließende Beantragung eines Ausweises erkennen lassen, und mit welchen Maßnahmen soll das zukünftig verhindert werden?”

Auf ihrer Homepage hat Frau Purkhardt die Antwort des Magistrats im Wortlaut veröffentlicht. Mit einer Verdrehung von Ursache und Wirkung wird Markus Drenger nicht als nützlicher Hinweisgeber, sondern durchgängig als Angreifer bezeichnet:

“Der Magistrat bestätigt, dass ein Angreifer – nach eigenem Bekenntnis in der Hessenschau vom 03.01.2018 handelt es sich um Herrn Markus Drenger vom Chaos Computer Club Darmstadt – das Online-Antragsverfahren für den Bewohnerparkausweis missbräuchlich genutzt hat. Der Angreifer hat sich zunutze gemacht, dass das Verfahren automatisch die Schlüssigkeit der eingegebenen Daten überprüft. Sämtliche Daten wurden vom Angreifer eingegeben; die erforderliche Prüfung der Antragstellerangaben über das Einwohnermeldeverfahren meldet an das Online-Antragsverfahren zurück, ob die vom Antragsteller eingegebenen Daten gültig sind. Es wurden zu keiner Zeit Daten des Einwohnermeldeverfahrens an den Online-Antragsprozess übertragen. Das Ergebnis der Prüfung der Antragsdaten auf Übereinstimmung mit den Meldedaten ist nicht im Einwohnermeldeverfahren gespeichert; von daher wurden keine Daten aus dem Einwohnermeldeverfahren entwendet. Weiter ist zu bestätigen, dass der Angreifer automatisiert eine Vielzahl variierter Eingaben in den Online-Antrag vorgenommen hat. Er hat dabei weitgehend Daten vorgegeben (Name, Adresse, Geburtsjahr), um die sehr hohe Anzahl sonst notwendiger Abfragen zu reduzieren. Es ist ebenfalls zutreffend, dass die jeweilige Beantragung des Bewohnerparkausweises vom Angreifer nicht abgeschlossen wurde. Die beteiligten Stellen – darunter das Referat Datenschutz und IT-Sicherheit – haben sich darüber abgestimmt, mit welchen Sofortmaßnahmen die Vorgehensweise des Angreifers unterbunden werden kann. Zu den getroffenen Maßnahmen gehört eine Limitierung der Änderungen der Antragstellerdaten. Die getroffenen Maßnahmen können im Einzelfall Komforteinbußen bei der Antragstellung für unbeteiligte Dritte bedeuten. Es findet daher eine weitergehende Abstimmung der beteiligten Stellen über weitere mögliche technische und organisatorische Maßnahmen statt.”

Die Bürgerrechtsgruppe dieDatenschützer Rhein Main stellt fest:
Selbst wenn es sich – rein technisch betrachtet – beim Vorgehen von Markus Drenger um einen “Angriff” auf die technische Infrastruktur in Sachen Anwohner-Parkausweise gehandelt hat, bleibt festzuhalten:

Herr Drenger hat nicht nachteilig zu Lasten der Stadt Frankfurt und/oder anderer AntragstellerInnen auf Anwohner-Parkausweise manipulativ gehandelt;

hat die zuständigen Stellen in Frankfurt, Offenbach und Neu-Isenburg und das kommunale Gebietsrechenzentrum ekom21 über die von ihm entdeckte Schwachstelle in der verwendeten Software informiert;

hat dadurch ermöglicht, Korrekturen vorzunehmen bzw. schwachstellen zu beseitigen und

hat dafür Dank und Anerkennung der Stadt Frankfurt statt Häme verdient.

Wer auch immer aus dem Magistrat die Frage von Frau Purkhardt beantwortet hat: Diese Antwort ist ein Ausbund an Arroganz, Missachtung demokratischer Partizipation und Verkennung von Ursache und Wirkung.


Bürgerrechtsgruppe dieDatenschützer Rhein Main, Pressemitteilung 2.2.2018