Österreich: 33.000 persönliche Datensätze über BadenCard im Netz
Die Verwaltung der niederösterreichischen Stadt Baden bei Wien hat durch schlampige Programmierung einer Internetseite eine große Menge personenbezogener Daten offen zugänglich ins Netz gestellt. Eine Datenbank gab Namen, Vornamen, Anschrift, Geschlecht und Geburtsdaten von vermutlich mehr als 33.400 Personen bekannt. Die Datei ließ sich frei herunterladen und war nicht durch Passwörter oder ähnliches geschützt, berichtet das IT-Magazin c’t.
Die Internetseite, auf der sich die Datenbank finden ließ, diente der Online-Verlängerung der sogenannten BadenCard. Die Karte wird benötigt, um Müll beim örtlichen Wertstoffhof abgeben zu dürfen. Einmal jährlich muss die Karte verlängert und eine Gebühr gezahlt werden. Die Internetseite wurde eingeführt, damit Antragsteller für diesen Vorgang nicht mehr persönlich erscheinen müssen.
Um die besagte Datei aufzurufen, musste nur die richtige Webadresse aufgerufen werden. Wie die c’t berichtet, war dieser aber einfach zu erraten.
Wie lange die Sicherheitslücke bestand, ist nicht bekannt. Die Internetseite ist aber seit Anfang 2022 online. Die Einführung des (unsicheren) Online-Systems erfolgte erst auf Druck der Politik. Die liberale Partei NEOS hatte auch die Einführung einer App gefordert.
Auch Zahlungsinformationen
Die c’t vermutet, dass die gesamte Meldedatenbank der Stadt Baden offen im Netz stand. Denn die gefundene Datei beinhaltete die Datensätze von mehr als 28.400 Bewohnern des Ortes. Die offizielle Einwohnerzahl beläuft sich auf rund 26.000 Menschen.
In einer weitere Tabelle hätten sich nochmals mehr als 14.400 Datensätze von ausgestellten BadenCards und ihren Besitzern befunden. Dort waren Anschriften hinterlegt, die sich mit den Informationen aus der Meldedatenbank deckten. Bei einigen Personen waren zusätzlich E-Mail-Adresse und Telefonnummer gespeichert. Auch Informationen über die jeweilige Karte wie die Identifikationsnummer des eingebauten RFID-Funkchips und die Gültigkeitsdauer waren vermerkt.
Zudem waren sensible Daten vom österreichischen Zahlungsdienstleister Hobex offen zugänglich, sie und enthielten Details zu Zahlungsvorgängen der Karteninhaberinnen und -inhaber. Denn alle 365 Tage müssen die Besitzer 10 Euro Gebühr entrichten. In den Dateien fanden sich Namen, Rechnungsanschrift und IP-Adressen zu den Gebührentransaktionen. Hatten die Kunden via Sofortüberweisung bezahlt, war die vollständige IBAN des Nutzerkontos gespeichert; bei Kreditkartenzahlung nur die letzten vier Stellen der Kreditkartennummer.
Datenschutzbehörde informiert
Nach dem Fund hatte die Redaktion am 8. März den Datenschutzbeauftragten der Stadtverwaltung kontaktiert. Am Tag darauf sei die Datenbank nicht mehr aus dem Internet erreichbar gewesen und wenig später die gesamte Webseite der BadenCard. Mittlerweile ist die Seite aber wieder online.
Auf Anfragen der Redakteure habe die Verwaltung nicht geantwortet. Nur die österreichische Datenschutzbehörde bestätigte, dass sie gemäß Artikel 33 der DSGVO am 11. März über den Vorfall informiert worden sei. Ob Unbefugte auf die Dateien zugegriffen haben, ist nicht bekannt. Laut der regionalen Nachrichtenseite NÖN habe die Stadtgemeinde aber die Logfiles der Webserver analysiert – Ergebnis unbekannt. (hcz)