Versicherungsgruppe HUK-Coburg legte Kundendaten offen ins Netz [Update]

Die Versicherungsverträge der HUK24, Online-Tochter der fränkischen Versicherungsgruppe HUK-Coburg, waren bis vor kurzem mitsamt aller Kundendaten über ein offenes Serververzeichnis problemlos zugänglich. Die gravierende Sicherheitslücke entdeckte nach Hinweisen aus der Hackerszene am Sonntag unter anderem der Jenaer Computerfreak Christian Kahlo. Noch am selben Tag informierte der Mitarbeiter des E-Commerce-Spezialisten Intershop den Datenschutzbeauftragten der Online-Versicherung über ein Formular auf der Website. Als auch nach einem Anruf bei den zuständigen Webadministratoren zunächst keine Reaktion erfolgte, lud Kahlo zusammen mit dem Jenaer Datenschutzexperten Lutz Donnerhacke die Kundenliste aus dem Netz und wandte sich über ein Posting an die Mailingliste debate des Fitug (Förderverein Informationstechnik und Gesellschaft) an die Öffentlichkeit.

"Das war eine riesige XML-Datei mit allen Verträgen, die persönliche Daten wie Telefon, Fax oder teilweise E-Mail sowie Angaben über Berufsgruppe und Geburtstag von über 2500 Kunden enthielten", erklärte Donnerhacke gegenüber heise online. Die Liste sei nicht geschützt gewesen: "Um das komplette Serververzeichnis abzurufen, musste auf einer Unterseite zur Tarifübersicht nur die Endung 'index.html' in der Webadresse gelöscht werden", betonte Donnerhacke. Auch die komplette Serverkonfiguration und die privaten Schlüssel für das Sicherheitsprotokoll SSL seien auf diesem Weg zugänglich gewesen. Als Serversoftware machten die Computerexperten eine über ein Jahr alte Apache-Version aus, die auf einem Windows-System lief. Ein Sicherheits-Update, das zumindest nach dem "Wüten" mehrerer Apache-Würmer im Sommer hätte erfolgen müssen, war nicht aufgespielt worden.

Kahlo und Donnerhacke hatte der Fund nach eigenen Angaben zunächst regelrecht "schockiert". Sie rätselten, ob sie die betroffenen Kunden per Fax oder E-Mail über die schlampige Behandlung ihrer Daten informieren sollten, nachdem die einzige Reaktion aus Coburg zunächst darin bestand, die XML-Datei als noch leichter downloadbare, komprimierte Zip-Version auf dem Server "zu verstecken". "48 Stunden müssten eigentlich reichen, um eine solche Lücke zu schließen", findet Donnerhacke. Aber "irgendwelchen Deals, um derlei Peinlichkeiten unauffällig aus der Welt zu räumen", steht Kahlo skeptisch gegenüber.

Die Aufmerksamkeit, die der Fall nun in der Netzöffentlichkeit genießt, hat inzwischen zumindest dazu geführt, dass das Serververzeichnis der HUK24-Seite nicht mehr über die Änderung der Webadresse einsehbar ist. Eine Stellungnahme der Versicherungsgruppe ist am heutigen Mittwoch bislang allerdings auch auf Anfrage nicht erfolgt. Ironie am Rande: Die HUK24 wirbt im Netz just mit ihrem "vorbildlichen Sicherheitskonzept". Dort heißt es wörtlich: "Der Abschluss einer Versicherung ist reine Vertrauenssache und erst wenn Sie sich wirklich sicher fühlen, schenken Sie der HUK24 Ihr Vertrauen." Aus diesem Grund lege die Firma "großen Wert" auf die Themen Datensparsamkeit, Datensicherheit und Datenschutz.

Dass den Überbringern der gegenteiligen Nachricht nun rechtliche Konsequenzen auf Basis der einschlägigen Hackerparagraphen aus dem Strafgesetzbuch drohen könnten, glauben die Entdecker nicht. "Paragraph 303 trifft auf keinen Fall zu", ist sich Donnerhacke sicher, da es zu keiner Veränderung des Systems gekommen sei. Auch ein "Ausspähen" von Daten, das nach Paragraph 202 StGB strafbar ist, läge nicht vor. "Das setzt einen besonderen Schutz voraus", erklärt der Mitgründer des Jenaer Internetproviders IKS. Doch auf der Website der HUK24 sei nicht mal ein Passwort abgefragt worden.

Mittlerweile nahm die Versichungsgruppe offiziell zu dem Vorfall Stellung. Man bedauere den Fehler; und obwohl man davon ausgehe, dass den betroffenen Kunden kei Schaden entstanden sei, werde man sie über den Sachverhalt informieren. Bei den Daten habe es sich "im Wesentlichen um Antragsdaten zur Kraftfahrt-Versicherung" gehandelt. Der Fehler sei im Zuge von Wartungsarbeiten aufgetreten und nach dem Bekanntwerden sofort geschlossen worden. Ob sich die Entdecker der Sicherheitslücke allerdings so sicher wiegen können wie Donnerhacke meint, wird sich möglicherweise erst noch zeigen müssen. Denn die HUK24 leitete "wegen der Beschaffung und möglichen Weitergabe illegal beschaffter Daten" strafrechtliche Schritte ein. (Stefan Krempl) / (jk)