MDXDave.de

Informatikstudent der TH Köln // Android + Coding

Laden...

[Update!] Eklatante Datenschutzpanne bei der LEG und weiteren Vermietungsgesellschaften

veröffentlicht vor 2 Wochen, am 2. Juli 2019  |  aktualisiert vor 4 Stunden  |  LEG    Sicherheit    Sicherheitslücke    Datenpanne      |  0 Kommentare

Seit Mitte 2016 bin ich selbst ein Mieter bei der LEG Gruppe.

Genauer gesagt der LEG Rheinland Köln GmbH, die wider rum eine hunderprozentige Tocher der LEG Wohnen NRW GmbH ist.

Am Abend des 2. Juli 2019 wollte ich im Mieterportal der LEG (https://portal.leg-wohnen.de) nachschauen, ob neue Dokumente vorhanden sind. Dabei fiel mir eine eklatante Panne auf.

Über eine relativ einfache Möglichkeit innerhalb des Portals ist man in der Lage die Informationen aller Mieter der LEG Gruppe abzurufen. Darunter die persönlichen Daten (Name, alte und neue Anschrift), Informationen über das Mietverhältnis (Beginn, Gekündigt, Größe der Wohnung in Quadratmeter und Zimmer) sowie die aktuelle Kaltmiete zzgl. den Nebenkosten. Weiterhin die gezahlte Kaution. Zusätzlich ist es möglich das aktuelle Guthaben bzw. die Schulden eines Mieters einzusehen.

Noch schlimmer macht es da eigentlich nur die Tatsache dass sogar die entsprechenden Dokumente von Mietern abrufbar sind, die bereits seit mehreren Jahren nicht mehr an der angegebenen Wohnung wohnen.

Den Verstoß habe ich dem Landesbeauftragten für Datenschutz und Informationsfreiheit des Landes Nordrhein-Westfalen gemeldet (https://www.ldi.nrw.de/), weiterhin habe ich mehrere Medien über die Sicherheitslücke informiert, damit möglichst viele Mieter der LEG von der Datenpanne erfahren.

Ob diese bereits ausgenutzt wurde, ist mir natürlich nicht bekannt. Weiterhin ist der Personenkreis der diese Lücke ausnutzen konnte natürlich eingeschränkt, da zwingend ein Login für das LEG-Mieterportal vorhanden sein muss.

Dieser Umstand macht die Datenpanne in ihrere Gesamtheit allerdings nicht weniger schwer.

Im folgenden sind einige (anonymisierte) Screenshots, die das ganze Ausmaß der Datenpanne zeigen:

Eine große Anzahl der originalen PDF-Dateien (ungeschwärzt) liegen mir natürlich vor. Bei berechtigtem Interesse werde ich diese selbstverständlich weiterleiten.

Das Testen der verschiedenen Vertragsnummern wurde zu keinem Zeitpunkt durch das System unterbunden. Sofern eine Vertragsnummer nicht existierte, wurde kein Dokument ausgegeben. Interessanterweise habe ich jedoch öfter eine E-Mail der LEG erhalten, dass ein Dokument in meinem Mieterbereich zum Abruf stehen würde (dem natürlich nicht so war).

Screenshot Mail
Screenshot Mail

Update vom 3. Juli 2019, 10:35 Uhr:

Screenshot Wartungsarbeiten
Screenshot Wartungsarbeiten

Das Portal wird von der Aaeron Deutschland GmbH entwickelt und betrieben. Seit einigen Minuten ist das Portal aufgrund von Wartungsarbeiten deaktiviert.
Ob das Problem dabei behoben wird, werde ich nach Abschluss der Arbeiten überprüfen.

Update vom 3. Juli 2019, 16:30 Uhr:

Ich versuche bereits seit längerer Zeit die LEG telefonisch zu erreichen, leider sind die Wartezeiten wie immer unverhältnismäßig hoch. Eine andere Möglichkeit der schnellen Kontaktaufnahme sehe ich allerdings nicht.

Das Portal ist zwischenzeitlich wieder online. Und tatsächlich: Die Aaeron Deutschland GmbH scheint etwas geändert zu haben. Die Vertragsnummer lässt sich nun nicht mehr ganz so einfach ändern, da diese kodiert ist.
Dummerweise kann man diese nach wie vor ohne großen Aufwand manipulieren und kommt nach wie vor an alle Daten der Mieter.

Update vom 3. Juli 2019, 16:54 Uhr:

Nach knapp 40 Minuten habe ich dann einen Mitarbeiter erreicht, der das ganze sehr Ernst genommen hat und auch versucht hat einen Verantwortlichen des IT-Dienstleisters zu kontaktieren. Da dies offenbar nicht so ohne weiteres möglich war, hat er ein Ticket aufgenommen und dieses als Datenschutzproblem priorisiert. Außerdem meine Handynummer als Rückrufnummer bei weiteren Fragen. Ich habe aber auch explizit um Rückruf gebeten.


Update vom 3. Juli 2019, 16:57 Uhr:

Kurz nach dem Telefonat ist die Plattform erneut im Wartungszustand.


Update vom 3. Juli 2019, 17:08 Uhr:

Screenshot Facebook Kommentar
Screenshot Facebook Kommentar

Neben Twitter habe ich diesen Beitrag auch um 22:27 Uhr auf der Facebook-Seite der LEG geteilt (https://www.facebook.com/LEGWo...), die LEG hat diesen Kommentar gelöscht, ohne mich zu kontaktieren oder anderweitig darauf zu reagieren.

In Anbetracht der Tatsache dass es hier um sensible Daten der eigenen Mieter geht, hätte ich mir dort ein anderes Verhalten gewünscht. Statt diesen Beitrag veröffentlichen zu können, hätte ich auch einfach beliebige viele PDF-Dateien mit Kundendaten veröffentlichen können (die mir übrigens vor liegen).

Ich würde also die Verantwortlichen der LEG dringend bitte sich mit mir in Verbindung zu setzen und weiterhin die Mieter über die Datenschutz-Panne zu unterrichten!


Update vom 3. Juli 2019, 21:30 Uhr:

Wie zu erwarten hat sich natürlich niemand bei mir gemeldet bislang.

Dafür habe ich ein wenig Recherchiert und dabei herausgefunden dass die Aareon Deutschland GmbH mehrere Mieterportale für unterschiedliche Unternehmen betreibt. Darunter beispielsweise FLÜWO Bauen Wohnen eG, FROHE Zukunft Wohnungsgenossenschaft eG, Treptow Nord eG und vele mehr.

Möglicherweise bestehen auch hier dieselben Sicherheitslücken. Testen kann ich dies aber mangelnder Zugriffsdaten aber nicht.

Auch über eine Kontaktaufnahme seitens der Aareon Deutschland GmbH würde mich daher sehr freuen.

Update vom 4. Juli 2019, 11:02 Uhr:

Möglicherweise habe ich mit meiner Vermutung von gestern Abend ins schwarze getroffen, dass dieselbe Sicherheitslücke dort auch existiert. Mit Stand 11:02 Uhr heute morgen, sind alle anderen CRM-Portale ebenfalls im Wartungsmodus. Natürlich könnte dies auch ein Zufall sein - allerdings bezweifle ich das an dieser Stelle mal. Sollte eure Vermietungsgesellschaft also auch ein Mieterportal anbieten, sind eure Daten möglicherweise ebenfalls abgegriffen worden.

Update vom 4. Juli 2019, 12:03 Uhr:

Ich hatte soeben ein angenehmes Gespräch mit Herrn Klein aus der Abteilung "Legal and Risk Management" der Aareon Deutschland GmbH. Mir wurde einerseits bestätigt dass sich intensiv um die Behebung der Sicherheitslücke gekümmert wird und auch andere Abteilungen (Datenschutzabteilung, Rechtsabteilung etc.) mit dem Fall befassen. Andererseits bestätigte er mir auch, dass die Wartungsarbeiten im Zusammenhang mit der Sicherheitslücke stehen. Weiterhin wolle sich die LEG auch bei mir melden und ich würde über weitere Schritte informiert werden.

Ob und wie das ganze offiziell Kommuniziert werden soll, blieb im Gespräch aber offen. Zunächst einmal sei die Priorisierung ganz klar bei der Behebung der Sicherheitslücke. Mein Wunsch, die Mieter im Allgemeinen und die betroffenen Mieter zu informieren, dass persönliche Daten entwendet wurden oder zumindest die Möglichkeit dazu bestand, habe ich dabei mit Nachdruck geäußert. Hierüber würden aber die Vermietungsgesellschaften selbst entscheiden und informieren. Zumindest im Falle der LEG solle ich aber in den Prozess eingebunden werden. Ich bin auf jeden Fall gespannt, wie sich das ganze entwickelt und ob die LEG bzw. die anderen Vermietergesellschaften so rechtschaffend sind und diese Panne nach Behebung der Lücke offen kommunizieren - unabhängig davon ob dies durch die Verletzung der Datenschutzgrundverordnung (DSGVO) oder sonstiger rechtlicher Aspekte notwendig ist oder nicht.

Update vom 5. Juli 2019, 16:04 Uhr:

Screenshot Google Analytics
Screenshot Google Analytics

Auch wenn sich die LEG nach wie vor - trotz meines ausdrücklichen Wunsches - nicht bei mir gemeldet hat, so ist sie offenbar aber mittlerweile zumindest selbst auf diesen Beitrag aufmerksam geworden. 🤓


Update vom 6. Juli 2019, 22:02 Uhr:

Die LEG hat tatsächlich reagiert. Das ganze zunächst ohne Kommentar meinerseits. Ich werde mich hierzu in den nächsten Tagen schriftlich äußern.

Update vom 19. Juli 2019, 2:15 Uhr:

Ein kurzes Update: Die LEG hat sich nach wie vor nicht bei mir gemeldet. Ich stehe im Kontakt mit dem WDR, der über die Datenschutzpanne berichten will. Die LDI hat bestätigt, dass die LEG den Vorfall gemeldet hat (nach mir) und dieser in Bearbeitung sei. Das Schreiben der LEG, welches an Mieter versendet wurde, deren Daten ich im Rahmen der Entdeckung der Sicherheitslücke aufgerufen habe, enthält falsche Behauptungen und Lügen. Die LEG ist in meinen Augen (Achtung, freie Meinungsäußerung!) nicht nur unfähig, die Sicherheit der Mieterdaten zu garantieren, sondern besitzt dazu ein katastrophales Krisenmanagement und eine Presse-Abteilung, die lieber als (fast) einziges die eigenen Beiträge auf Twitter liked (Sabine Jeschke ist Pressesprecherin), statt sich ehrlich zu dem Vorfall zu äußern und dazu zu stehen, ein Mieterportal zu betreiben, welches eine eklatante und leicht auszunutzende Sicherheitslücke besaß.

Zum Thema Sicherheit der Mieterdaten: Bis heute - 16 Tage nach dem Vorfall - wurde ich von niemandem dazu aufgefordert oder darum gebeten alle Daten zu löschen. Lediglich Daniel Klein von der Aareon erwähnte im Gespräch vom 4. Juli, dass er sich nochmal bei mir melden würde, damit ich ihm bestätigte die Daten gelöscht zu haben - was natürlich nicht geschah. Ich habe die Mieterdaten die in Verbindung mit dem Vorfall stehen allerdings auch ohne explizite Aufforderung gelöscht. Der ganze Vorfall zeigt für mich sehr deutlich wie egal der LEG die Mieter wirklich sind.