Liebe Leserinnen und Leser,
es ist keine neue Erkenntnis, dass gerade die börsennotierten großen Wohnungsunternehmen nicht zu den beliebteren Teilnehmern am Wirtschaftsleben zählen. Das liegt am Gewinnstreben solcher Unternehmen, das die wirtschaftlichen Verhältnisse der Mieter stark beeinträchtigen kann, und auch an einem oftmals eher ruppigen Umgang mit den Mietern.
Mit welcher Geisteshaltung Vertreter eines solchen Unternehmens agieren, zeigte jüngst ein Bericht des WDR 2 über einen Informatikstudenten aus Köln, der im Mieterportal der LEG-Wohnen in NRW GmbH eine gravierende Sicherheitslücke entdeckt hatte. Dieses Mieterportal bietet allen Nutzern, also prinzipiell über 100.000 Mietern, Zugriff auf alle für das Miet-verhältnis relevanten Dokumente. Das fängt beim Mietvertrag an und umfasst auch Auskunft über Mietrückstände.
Die Entdeckung des Studenten David K. bestand nun darin, dass er als Mieter seine
Dokumente als Hyperlink, der seine „Kundennummer“ enthält, abrufen kann. Naheliegend ist dann der Gedanke, bei einem vielleicht recht schlicht gestrickten System einmal einen Abruf mit einer anderen „geratenen“ Kundennummer zu versuchen. Zu seinem Erstaunen funktionierte das tadellos und wiederholt. Falsch geratene Kundennummern lieferten einfach kein Dokument, die Anzahl der Versuche mit irgendwelchen Nummern Dokumente zum
Download zu erhalten, war offenbar nicht begrenzt.
Als nächstes hat David K. dann diese Lücke – mit den frisch gewonnenen und an den entscheidenden Stellen geschwärzten Beispielen garniert – dokumentiert und der
LEG, bzw. deren IT-Dienstleister gemeldet. Während die LEG als verantwortliche
Stelle im Sinne des Datenschutzes weder unmittelbar noch in den folgenden Tagen.
Kontakt aufnahm, reagierte der Dienstleister recht zügig mit einem eher erfolglosen Reparaturversuch und nach kurzer Zeit mit der vorübergehenden Schließung des Portals.
Dennoch war man bei der LEG offenbar maßlos erzürnt, weil der gute Mann das Problem auch der zuständigen Datenschutzaufsichtsbehörde gemeldet hatte. Damit war das Unternehmen in heftigen Zugzwang gebracht und musste gemäß Art. 34 DSGVO alle Mieter über die Panne informieren. Diese per Brief an alle Mieter verschickte Information, die eben auch dem Studenten als Mieter zuging, beschrieb ein Vorgehen des Täters mit „krimineller Energie“, fabulierte von tiefen IT-Kenntnissen, die nötig gewesen seien und behauptete, der Täter habe Daten im Internet veröffentlicht. Entsprechend sei Anzeige gegen den Täter erstattet worden.
Wenn Zahlenraten „kriminelle Energie“ ist und frech behauptet wird, der „Täter“ habe Daten im Internet veröffentlich, ist das ganz schlechter Stil. Die Information über die Entdeckung einer haarsträubenden Sicherheitslücke zu ignorieren lässt auf schlechte Organisation im Unternehmen schließen. Den Entdecker des Fehlers dann zu kriminalisieren, ist tadelloser Donald-Trump-Stil und beschädigt bei klardenkenden Menschen vor allem das Image des Unternehmens. Falls es da noch etwas zu beschädigen gibt.