Datenleck auf EU-Kommissions-Website

Am 28.11.2013 sandten die „Piraten“ eine Presseaussendung

Wien – Userdaten einer offiziellen Internetseite der EU-Kommission können aufgrund mangelhafter Sicherheitsvorkehrungen von Angreifern abgefangen werden – das entdeckten Mitglieder der österreichischen Piratenpartei am Donnerstag.

„Die EU-Kommissions-Website für audiovisuelle Services [http://ec.europa.eu/avservices/] genügt nicht einmal den grundlegendsten Anforderungen an den Datenschutz – Passwörter und andere persönliche Angaben werden fahrlässig behandelt.“, kritisiert Andreas Czák, Mitglied im Bundesvorstand der Piraten.

Bei Anmeldung auf der Website werden Telefonnummer, Adresse und das Passwort des Nutzers über eine unverschlüsselte Verbindung übertragen. Außerdem erhält der Nutzer die Zugangsdaten nach der Registrierung per  E-Mail im Klartext zugesandt. „Es deutet alles darauf hin, dass die Passwörter auf den Servern der Kommission unverschlüsselt gespeichert werden. Dies steht in krassem Widerspruch zu gängigen Sicherheitsstandards“, so IT-Sicherheits-Experte Czák.

Bei jedem Login, etwa in Internet-Cafes oder offenen WLANs, werden die Login Daten im Klartext übertragen. So können Angreifer, aber auch die Administratoren der Seite sowie mitschneidende Geheimdienste das Passwort und sämtliche persönliche Daten auslesen.

„Wenn die EU-Kommission nicht einmal die Kompetenz aufbringt, die Nutzer ihrer Services vor Datenklau zu schützen, wie soll ihr da erst bei Themen wie der NSA-Affäre oder der Datenschutzreform vertraut werden?“, meint Bernhard Hayden, Netzpolitiksprecher der Piratenpartei. Erst am vorangegangenen Freitag war ein Hackerangriff auf persönliche Konten von Abgeordneten des EU-Parlaments bekannt geworden, bei dem über 40.000 teils hochbrisante E-Mails abgefangen wurden.