An dieser Stelle möchte ich das offizielle Schreiben der LEG an (nach dem Brief zu urteilen betroffene) Mieter veröffentlichen, welches heute in meinem Briefkasten lag. Wie beschrieben, bin ich ja selbst Mieter der LEG.
Das ganze ohne Kommentar meinerseits. Ich werde mich aber dazu in den kommenden Tagen auch noch schriftlich äußern.
Im folgenden ein Kommentar zu den jeweiligen Absätzen des obigen Schreibens:
Liebe LEG,
Weder kamen unerlaubte Mittel zum Einsatz, noch habe ich mir durch eine Manipulation Zugriff auf die Daten verschafft. Ein Browser ist kein unterlaubtes Mittel und das Ändern einer Adresse ist keine Manipulation sondern die Grundfunktionalität auf welcher das Internet basiert.
Die Sicherheit der Mieterdaten genießt absolut keine oberste Priorität wenn es durch das Ändern einer Vertragsnummer in der Adressleiste möglich war auf fremde Daten zuzugreifen. Auch das mein Konto nach Behebung der Sicherheitslücke gesperrt bzw. gelöscht wurde, lässt mich sehr stark an der Sicherheit des Mieterportals zweifeln.
Wenn das Portal tatsächlich regelmäßig von mehreren Dienstleistern überprüft wird, hätte eine derartige Sicherheitslücke meiner Meinung nach binnen weniger Minuten auffallen müssen. Vermutlich gab es die angesprochenen Sicherheitsprüfungen überhaupt nicht.
Ich bin erstens weder ein Täter (denn dafür müsste ich verurteilt sein - und nein liebe LEG, dies ist keine freie Meinungsäußerung sondern Verleumdung) noch habe ich irgendeine Art von krimineller Energie angewandt um die Sicherheitslücke auszunutzen. Hätte ich die Sicherheitslücke tatsächlich ausnutzen wollen, hätte ich weder den Datenschutzbeauftragten des Landes NRW (LDI) noch die LEG darüber informiert. Auch hätte ich die Daten die ich abgerufen hatte nicht freiwillig (bis heute kam keine Aufforderung die Daten zu löschen) gelöscht. Ich hätte mit alle Daten aller Mieter herunterladen können und die LEG damit erpressen oder die Daten verkaufen können - das, liebe LEG, wäre kriminelle Energie und dann läge es auch nahe mich als Täter zu bezeichnen. Ihr seid kein Geschädigter des Vorfalls (eine Straftat ist das nämlich erst recht nicht) - sondern Verursacher (zumindest indirekt). Ich selbst bin durch die Sicherheitslücke ein Geschädigter. Wer garantiert mir dass diese Sichehreitslücke nicht schon einmal ausgenutzt wurde?
Wie konntet ihr denn so schnell das Portal abschalten wenn ich euch doch nicht direkt darüber informiert hätte? Ihr wusstet genau 35 Minuten nach meiner Veröffentlichung bescheid. Aber statt dies zuzugeben, veröffentlicht ihr lieber Schreiben an die Mieter und Statements gegenüber der Presse die (wissentlich) voller Lügen sind.
Es bedurfte absolut keiner tiefen IT-Kenntnis - jeder Vollidiot (entschuldigt diesen Ausdruck) hätte die Vertragsnummer in der Adresszeile verändern können. Aber lieber Lügen verbreiten als die (peinliche) Wahrheit zuzugeben. Euch blieb rechtlich zudem gar nichts anderes übrig als die LDI zu informieren - aber auch hier unterschlagt ihr natürlich dass ich die LDI bereits informiert hatte. Leider kann man die Sicherheitslücke jetzt nicht mehr einfach so unter den Teppich kehren. Schade.
Aus welchem Grund sollte ich die Mieter kontaktieren? Um sie über die Lücke zu informieren? Das wäre eig. euer Job gewesen - stattdessen macht ihr - genau - nichts. Das umfassende Bild der Sachlage scheint bei euch sehr verschoben zu sein. Der Realität entsprechen eure Schilderungen nämlich absolut nicht.
MDXDave.de