Julius Stiebert 31.07.2020

Datenpanne: Sicherheitslücke beim niedersächsischen Kulturministerium

Wegen einer Sicherheitslücke waren die Daten von Antragstellern von Kulturfördermitteln in Niedersachsen online zugänglich. Um darauf zuzugreifen, musste nur die dreistellige Nutzer-ID in der Internetadresse geändert werden. Anträge auf Corona-Hilfe waren von der Sicherheitslücke nicht betroffen.

Niedersächsisches Ministerium für Wissenschaft und Kultur — Das Kulturministerium hat die betroffene Webseite abgeschaltet. (Quelle: Christian Schd – CC BY-SA 3.0)

Beim niedersächsischen Ministerium für Wissenschaft und Kultur ließen sich fremde Anträge auf Fördergelder online abrufen: Daten wie Namen, Adressen und Bankdaten waren offen einsehbar. Selbst Ausweiskopien sollen sichtbar gewesen sein, berichtet das Fachmagazin c’t.

Die Daten ließen sich über die Webseite für das “Online-Antragsverfahren” einsehen. Dort können Kultureinrichtungen Fördergelder beantragen. Um auf die Daten zuzugreifen, benötigte man selbst ein Konto auf diesem Portal. Dann konnte man den in der URL angezeigten Parameter “Nutzer-ID” ersetzen. Laut dem Bericht bestand die Nutzerkennung aus nur drei Ziffern, die sich einfach hochzählen ließen. Anschließend hatte man Zugriff auf die Daten fremder Antragsteller.

Die c’t hatte die Sicherheitslücke nach dem Hinweis eines Lesers verifiziert. Ob tatsächlich Daten auf diesem Weg abgegriffen wurden, ist unklar. Wie lange die Daten aufgrund der Sicherheitslücke für Unbefugte zugänglich waren, ist ebenfalls nicht bekannt.

Potenzielle Umleitung von Fördergeldern

Eine zweistellige Anzahl an Accounts soll nach Angaben des Ministeriums betroffen sein. Laut dem Bericht hätte man auf diesem Wege wahrscheinlich auch die hinterlegte Bankverbindung für die Zahlung der Fördergelder ändern und das Geld somit umleiten können – getestet hat die Redaktion dies allerdings nicht.

Nachdem das Ministerium von der c’t-Redaktion auf die Sicherheitslücke aufmerksam gemacht wurde, schaltete es das Online-Antragsverfahren noch am selben Tag ab. Die Seite ist auch weiterhin nicht erreichbar. Man wolle das Angebot nun durch externe Fachleute überprüfen lassen, heißt es in einer knappen Mitteilung des Ministeriums vom 15. Juli. Nicht von der Sicherheitslücke betroffen sei das Corona-Sonderprogramm für kleinere Kultureinrichtungen.

Das Ministerium für Wissenschaft und Kultur hat den Vorfall eigenen Angaben zufolge an die zuständige Landesdatenschutzbeauftragte gemeldet, wie es die Datenschutzgrundverordnung (DSGVO) verlangt. Außerdem will das Ministerium alle Antragstellerinnen und Antragsteller über die Sicherheitslücke informieren. Ein Bußgeld hat es indes nicht zu befürchten, denn im Gesetz sind keine Bußgelder für “Behörden und sonstige öffentliche Stellen” vorgesehen. (js)