Die Corona-Protest-Partei „Die Basis“ hat Daten ihrer Mitglieder ungeschützt ins Netz gestellt. Das Hackerkollektiv Anonymous hat eine Liste mit rund 15.000 Namen und hunderten Dokumenten gefunden, darunter Scans handschriftlich ausgefüllter Beitrittsformulare, zum Teil sogar mit Nummern von Personalausweisen und Bankdaten. Die Partei spricht in einer Stellungnahme von einem Hackerangriff auf die Demokratie. Doch der Weg, auf dem Anonymous die Daten fand, ist geradezu banal. Wohl praktisch jede:r hätte auf sie stoßen können.
Zu dem, was am Sonntag tausendfach abgeflossen ist, gehören Namen, E-Mail-Adressen, Wohnanschriften und Telefonnummern von aktuellen und ehemaligen Mitgliedern sowie Förderer:innen der Partei, die „Querdenken“ nahesteht und die staatlichen Schutzmaßnahmen vor dem Coronavirus konsequent ablehnt.
Veröffentlicht hat Anonymous aus diesem Datensatz kaum etwas, auf einem Blog lediglich einige Angaben zu prominenten Personen aus dem Umfeld der „Querdenken“-Bewegung gemacht.
Der Datensatz
Wie gravierend die Panne dennoch ist, zeigt eine Auswertung von netzpolitik.org. In Excel-Dateien, die wir einsehen konnten, hat „Die Basis“ umfangreiche Datensätze zu rund 15.000 Personen gesammelt. Nicht nur der überwiegende Teil der aktuellen Mitglieder ist gelistet, auch mehrere hundert Menschen sind betroffen, welche die Partei wieder verlassen haben – zum Teil bereits vor etwa fünf Monaten. Anstatt deren Daten zu löschen, speicherte „Die Basis“ sie weiterhin auf dem Webserver.
Neben Kontaktmöglichkeiten erfasste „Die Basis“ Angaben wie das Geburtsdatum. Sie hielt penibel fest, wer außerdem noch Mitglied einer weiteren Partei ist. Angaben zu den Mitgliedsbeiträgen, die sich demnach unterscheiden, finden sich ebenfalls in den Excel-Dateien. Darüber hinaus sind noch mehr als 500 Schriftsätze geleakt, vereinzelt enthalten sich auch Bankdaten von Parteimitgliedern.
Unter den Dateien, die ungeschützt auf dem Webserver lagen, sind sogar von Mitgliedern unterschriebene Vertraulichkeitserklärungen. „Da du im Rahmen [der] Parteiarbeit bei „Die Basis“ möglicherweise mit personenbezogenen Daten in Kontakt kommst, verpflichten wir dich hiermit zur Beachtung des Datenschutzes“, heißt es darin etwa.
Dabei offenbart der Fall nun erhebliche Versäumnisse beim Betrieb der Mitgliederplattform. „Offenbar fehlt es der ‚Basis‘ an einigen Basiskompetenzen – auch im Bereich der IT“, sagt Linus Neumann, Sprecher des Chaos Computer Clubs.
Die Methode
Anonymous hat inzwischen offengelegt, wie die Aktivist:innen vorgegangen sind – die Partei selbst hat die Darstellung gegenüber netzpolitik.org grundsätzlich bestätigt. IT-Kenntnisse waren demnach nicht nötig, höchstens ein Mindestmaß an Fantasie. Das hängt damit zusammen, dass der Webserver dilettantisch eingerichtet worden war.
Für die Verwaltung ihrer Mitglieder betreibt „Die Basis“ ein eigenes Portal, zu finden unter „mitglieder.diebasis-partei.de“. Um Zugang zu erhalten, muss man eigentlich einen Benutzernamen und ein Passwort kennen. Diese Schutzmauer überwanden die Anonymous-Aktivist:innen aber gar nicht. Sie konnten einfach an ihr vorbeimarschieren.
Websites mögen unterschiedlich aussehen, aber ihr Fundament ist häufig ähnlich und damit auch die Dateistruktur. Bilddateien zum Beispiel werden gemeinhin im Verzeichnis „images“ oder „uploads“ gespeichert. Die Anonymous-Aktivist:innen haben auf dem „Die Basis“-Server noch ein anderes Verzeichnis gefunden. Es ist das Verzeichnis, in dem die sensiblen Dateien lagerten: „download“.
Wer „mitglieder.diebasis-partei.de/download“ heute in der Adresszeile des Webbrowsers eingibt, erhält eine Fehlermeldung – die Sicherheitslücke wurde geschlossen: „Die angeforderte URL wurde auf diesem Server nicht gefunden.“ Am Sonntagnachmittag war an derselben Stelle noch ein gesamtes Verzeichnis einsehbar gewesen.
Die Anonymous-Aktivist:innen haben nach eigenen Angaben zwar ein Programm genutzt, um über einen Zeitraum von fünf Tagen sämtliche Dateien unauffällig herunterzuladen – man hätte diese theoretisch aber genauso gut mit der Maus anklicken können, eine nach der anderen. Oder auch nur die Datei „auswertung.xlsx“ mit den rund 15.000 Datensätzen.
Der Anfängerfehler
Das Problem war nicht, dass es dieses „download“-Verzeichnis gab, sondern dass sein Inhalt für Besucher:innen ohne Weiteres einsehbar war – ein Fehler, wie ihn normalerweise höchstens Anfänger:innen machen. Zudem waren die Daten unverschlüsselt.
„Die Basis“ bekam von alldem nach eigenen Angaben erst etwas mit, als es schon zu spät war und Anonymous am Sonntag auf die Veröffentlichung hinwies. Am Abend habe die Partei ihre Mitglieder informiert, sagt ihr Medienbeauftragter David Claudio Siber gegenüber netzpolitik.org. Eine Selbstanzeige bei der Datenschutzbehörde sei geplant.
Auch die „Die Basis“ weiß inzwischen, wie vermeidbar das Datenleck gewesen wäre – Siber sagt, man hätte es innerhalb von Minuten finden und schließen können. „Der Fehler liegt bei uns.“ Man könne aber ausschließen, dass noch jemand anders diese Sicherheitslücke ausgenutzt habe.
„Wir sind Anonymous dankbar, dass sie uns den Denkzettel verpasst haben, aber die Mitgliederdaten nicht veröffentlicht wurden“, so Siber. Dennoch halte man den Vorfall für einen Angriff, der strafrechtliche Folgen haben werde. Dabei geht es auch um die Privatadresse eines szenebekannten „Querdenken“-Anwalts, die Anonymous in diesem Zusammenhang öffentlich gemacht hat.
Die Partei gibt an, sie habe noch in der Nacht Anzeige wegen Datendiebstahls bei der Polizei an ihrem Hauptsitz Berlin gestellt, der Staatsschutz habe Ermittlungen bestätigt. Die Pressestelle der Polizei teilte netzpolitik.org am Nachmittag mit, sie wisse von dem Fall bislang nichts, eine von der Partei genannte Vorgangsnummer wollte das Lagezentrum am Abend nicht bestätigen.
Die Vorgeschichte
Es ist nicht der erste Konflikt der Protest-Szene mit Anonymous. Seit bald einem Jahr bekämpft das Kollektiv Verschwörungsideolog:innen und Gruppen, welche die Pandemie verharmlosen. Zu den Zielen der „OpTinfoil“ (Operation Aluhut) zählten der Rechtsextremist Attila Hildmann und der Sektenführer Ivo Sasek, aber auch die Corona-Protest-Partei „Widerstand 2020“, die im Frühjahr des vergangenen Jahres entstanden war.
54 Tage nach der Gründung wurde „Widerstand 2020“ schon wieder aufgelöst, kurze Zeit später entstanden zwei faktische Nachfolgeparteien: „Wir 2020“ und „Die Basis“. Dass im nun abgeflossenen Datensatz sogar Nummern von Personalausweisen enthalten sind, hänge auch damit zusammen, dass „Die Basis“ ihre Mitglieder genau überprüfe. „Im Gegensatz zu ‚Widerstand 2020‘ stellen wir sicher, dass die Person real existiert“, sagt Siber.
Er spielt auf einen früheren Zusammenstoß mit Anonymous an, der maßgeblich zum Ende von „Widerstand 2020“ beitrug. Man könnte sagen, die Aktivist:innen hatten damals genau das Gegenteil dessen getan, was nun der „Basis“ passiert ist: Mithilfe eines Computerprogramms erstellten sie so viele Neuanmeldungen, bis die „Widerstand 2020“ zigtausende erfundene Mitglieder hatte. Damals waren die Daten gefälscht. Diesmal sind sie echt.
Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.
0 Commentaires