Deutsche Studenten finden über eine Suchmaschine Zehntausende ungesicherte Datenbanken im Netz - mit Lese- und Schreibrechten für die ganze Welt. Darunter sind mindestens eine halbe Million deutsche Adressen eines Mobilfunkanbieters samt Kreditkartendaten.

Studenten aus Saarbrücken haben schwerwiegende Sicherheitslücken im Internet entdeckt - und das bei einer Stichprobe per öffentlich zugänglicher Suchmaschine. "Jedermann konnte mehrere Millionen Kundendaten mit Namen, Adressen, E-Mails und Kreditkartennummern im Internet abrufen oder gar verändern", teilte die Universität Saarbrücken mit. Ursache sei eine falsch konfigurierte frei verfügbare Datenbank-Software, auf der weltweit Millionen von Online-Shops und Plattformen ihre Dienste aufbauen. Die Lücke betrifft nach Erkenntnissen der Studenten am Kompetenzzentrum für IT-Sicherheit Cispa knapp 40.000 Datenbanken. Drei Cispa-Studenten hätten über eine Suchmaschine nach MongoDB-Servern und Diensten gesucht.

Bei dem falsch implementierten Programm handelt es sich um die populäre Datenbank MongoDB, die als offene Software kostenlos verwendet werden kann. "Halten sich die Betreiber bei der Installation blind an die Leitfäden und bedenken nicht entscheidende Details, stehen die Daten schutzlos im Internet", erklärten die Saarbrücker Forscher. Das Kompetenzzentrum habe Hersteller und Datenschützer informiert.

Konfiguriert sind die meisten Ausführungen der Software für den Gebrauch im lokalen Netzwerk und sind deshalb weder mit Passwörtern geschützt oder auf sonstige Weise zugriffsbeschränkt. Das Problem: Die Administratoren der nun entdeckten Datenbanken hatten in vielen Fällen die Grundeinstellungen nicht verändert und die Software ungesichert ins Netz gestellt. "Der Fehler ist nicht kompliziert, seine Wirkung ist jedoch katastrophal", erklärte Informatik-Professor Michael Backes, Direktor des Cispa.

Deutscher Online-Händler betroffen

"Eine so ungesicherte Datenbank im Internet gleicht einer öffentlichen Bibliothek ohne Bibliothekar mit weit offen stehender Eingangstür. Jeder kann dort rein", erklärte Backes. Zu den betroffenen Websites gehörte demnach auch die Kundendatenbank eines französischen börsennotierten Internetdienstanbieters und Mobiltelefonie-Betreibers, die die Adressen und Telefonnummern von rund acht Millionen Franzosen enthielt. Laut Aussage der Studenten befinden sich darunter auch eine halbe Million deutscher Adressen. Die Datenbank eines deutschen Online-Händlers inklusive Zahlungsinformationen hätten sie ebenfalls ungesichert vorgefunden.

Die Datenbank wird von der gleichnamigen Firma MongoDB entwickelt, die sich als internationales Unternehmen mit US-Hauptquartieren in New York und Palo Alto sowie einer internationalen Zentrale in der irischen Hauptstadt Dublin versteht. MongoDB verdient das Geld mit Serviceleistungen für über 2000 Großkunden und hatte erst im vergangenen Januar eine Finanzspritze von 80 Millionen Dollar von Investoren für die Umsetzung einer internationalen Wachstumsstrategie erhalten.