Köln. Ein Informatikstudent hat eine Sicherheitslücke bei der LEG entdeckt und öffentlich gemacht. Das Wohnungsunternehmen hat ihn angezeigt.
Ein Informatikstudent hat eine Sicherheitslücke beim Düsseldorfer Wohnungsunternehmen LEG entdeckt. Wie der WDR berichtet, seien keine besonderen Computerkenntnisse nötig gewesen, um im Mieterportal die Daten aller Mieter der LEG einzusehen.
Der Student meldete laut WDR das Datenleck sowohl dem Datenschutzbeauftragten in NRW als auch dem Unternehmen – und bekam eine Anzeige. Denn die LEG geht nicht davon aus, dass es dem Mann, der selbst Mieter einer LEG-Wohnung ist, nur darum ging, auf ein Sicherheitsproblem aufmerksam zu machen, wie Sprecher Mischa Lenz auf Nachfrage erklärt.
LEG zeigt Student wegen Ausspähens von Daten an
„Richtig ist, dass ein LEG-Mieter sich mit unerlaubten Mitteln Zugriff zu einem Teil der Mieterdaten über die Nutzung unseres Mieter-Portals verschafft hat (der Zugriff auf die Daten erfolgte nicht über das Internet)“, so Lenz. „Der Täter hat einen potenziellen Angriffspunkt des Portals mit krimineller Energie ausgenutzt.“ Den habe er dann nicht direkt der LEG oder der Firma gemeldet, die das Portal betreibt, sondern öffentlich gemacht.
So hätten die LEG und ihr Dienstleister nicht die Möglichkeit gehabt, „den potenziellen Angriffspunkt schnellstmöglich zu schließen“, so Lenz: „Stattdessen hat der Täter sich zunächst die Mieter-Daten – rechtswidrig – verschafft und Teile der so erlangten Daten anonymisiert im Internet verbreitet.“ Das Unternehmen hat Anzeige wegen Ausspähens von Daten gestellt.
Rund 700 LEG-Mieter von Sicherheitslücke betroffen
Das Unternehmen und seine Mieter seien Opfer einer Straftat, sagt der Sprecher Mischa Lenz – das sähen auch die entsprechenden Behörden so. Und erklärt, dass die Sicherheitslücke, über die Mieterdaten wie Mietverträge und Betriebskostenabrechnungen einsehbar waren, nur für Mieter mit einem Login ins Portal und „tiefe IT-Kenntnis“ zugänglich gewesen seien.
Die LEG ist aus der Landesentwicklungsgesellschaft Nordrhein-Westfalen hervorgegangen, einem landeseigenen Wohnungsunternehmen. Die Gesellschaft wurde 2008 privatisiert. Die LEG vermietet nach eigenen Angaben rund 134.000 Wohnungen, zum größten Teil in Nordrhein-Westfalen. Das Mieter-Portal sei nach Bekanntwerden des Vorfalls abgeschaltet worden; erst wenn alle Sicherheitsüberprüfungen zufriedenstellend abgeschlossen seien, werde es wieder online gehen. Alle betroffenen Mieter – nach Angaben des Unternehmens rund 700 – seien schriftlich über den Vorfall informiert worden.