D-Trust Datenleck: Wenn der „Vorreiter für sichere digitale Identitäten“ versagt

Kommentar verfassen

Ein gravierender Sicherheitsvorfall beim Vertrauensdiensteanbieter D-Trust, einem Tochterunternehmen der Bundesdruckerei, offenbart eklatante Mängel im Umgang mit sensiblen Kundendaten. Der Chaos Computer Club (CCC) hat die Hintergründe aufgedeckt und fordert nun Konsequenzen.

Das Datenleck

Anfang Januar 2025 stellte ein anonymer Sicherheitsforscher fest, dass D-Trust tausende Kundendaten ungeschützt im Internet bereitgestellt hatte. Zu den exponierten Informationen gehörten:

  • Vor- und Nachnamen
  • E-Mail-Adressen
  • Geburtsdaten
  • Teilweise Adressdaten
  • Nummern von Ausweisdokumenten

Diese hochsensiblen Daten waren ohne jegliche Zugangsbeschränkung über eine API abrufbar.

D-Trust’s fragwürdige Reaktion

Statt Verantwortung zu übernehmen, griff D-Trust zu einer fragwürdigen Rhetorik:

  • Man sprach von einem „Angriff“ und einer „gezielten Manipulation“
  • Es wurde Strafanzeige gegen Unbekannt gestellt
  • Ein „spezialisiertes IT-Sicherheitsteam“ wurde eingeschaltet

Diese Darstellung steht in krassem Widerspruch zur Realität: Die Daten waren schlicht ungeschützt online verfügbar.

Der CCC fordert Konsequenzen

Der Chaos Computer Club hat einen 5-Punkte-Plan vorgelegt:

  1. D-Trust soll öffentlich Verantwortung für die Sicherheitslücke übernehmen
  2. Eine förmliche Entschuldigung für den Missbrauch des „Hacker-Paragraphen“ aussprechen
  3. In zeitgemäße IT-Sicherheit investieren
  4. Die Abschaffung der „Hacker-Paragraphen“ unterstützen
  5. Eine angemessene Strafe durch die Datenschutzbehörden akzeptieren

Rechtliche und ethische Bedenken

Der Fall wirft ein Schlaglicht auf die problematische Rechtslage für Sicherheitsforscher in Deutschland. Die sogenannten „Hacker-Paragraphen“ kriminalisieren de facto die Aufdeckung von Sicherheitslücken, selbst wenn diese im öffentlichen Interesse geschieht.

Fazit

Der Vorfall bei D-Trust zeigt eindrücklich, wie selbst vermeintliche Experten für digitale Sicherheit grundlegende Schutzmaßnahmen vernachlässigen können. Es ist höchste Zeit für einen Paradigmenwechsel im Umgang mit IT-Sicherheit und Datenschutz in Deutschland. Unternehmen müssen Verantwortung übernehmen, statt sich hinter Cyber-Rhetorik zu verstecken. Gleichzeitig braucht es einen besseren rechtlichen Rahmen für verantwortungsvolle Sicherheitsforschung.

https://www.ccc.de/de/updates/2025/dont-trust

Hinterlasse einen Kommentar