Namen, Anschrift, bisherige Arbeitgeber und Jahresgehälter, alles einsehbar für jeden: Die Unesco hat über Jahre Bewerbungsunterlagen von Diplomaten, Wissenschaftlern und Mitarbeitern ins Netz gestellt. Betroffene sind entsetzt – die Uno-Organisation schweigt.
„Die Unesco und ich, das könnte eine Liebesgeschichte werden“, schreibt eine Bewerberin in ihrem Anschreiben an die Uno-Organisation für Erziehung, Wissenschaft und Kultur. Diese Liebe dürfte sich bald blitzartig abkühlen, denn das Dokument ist wie Zehn-, womöglich Hunderttausende andere Bewerbungsunterlagen offen im Internet einsehbar, samt aller Liebeslyrik im Anschreiben. Die Unesco hat über ein Web-Formular eingegebene Bewerbungen für Praktika und reguläre Stellen online gestellt – vollständig. Zehntausende Praktikumsbewerber und vermutlich Hunderttausende Bewerber für normale Posten innerhalb der Uno-Organisation sind betroffen.
Die Datensätze enthalten neben Handy-Nummern, Anschriften, E-Mail-Adressen und Namen auch genaue Auskünfte zu bisherigen Arbeitgebern, zum Bildungsweg, zu Sprachkenntnissen, zum Teil auch Namen und Anschriften von Verwandten der Kandidaten. Aus den Bewerbungen erfährt man zum Beispiel exakt, wie viel ein leitender Mitarbeiter im diplomatischen Dienst Pakistans verdient (einen sechsstelligen Dollar-Betrag) und welche Angestellten der Weltbank zur Unesco wechseln wollen. Die Bewerber stammen aus aller Herren Länder, manche bekleiden derzeit durchaus hohe Positionen. Die Unesco ist eine Organisation mit einem Jahresbudget von etwa 330 Millionen US-Dollar und über 2000 Mitarbeitern. Sie zieht hochqualifiziertes Personal an – Spitzenmanager aus Bereichen wie Logistik und Verwaltung, Ingenieure, Forscher, Diplomaten, Bewerber mit jahrelanger Erfahrung in internationalen Organisationen. Potentiell reiche Beute für Datendiebe.
Die Bewerbungsunterlagen für Praktika sind völlig ungeschützt einsehbar – die ältesten von SPIEGEL ONLINE gesichteten stammen aus dem Jahr 2006, die jüngsten aus dem Jahr 2011. Jede Bewerbung hat eine eigene Kennziffer, die zeitlich aufsteigend vergeben wird. Der Datenbestand beginnt mit Bewerbung 2 im Jahr 2006 und endet bei Bewerbung 79998 im Jahr 2011. Durch die Veränderung einer Ziffer in der URL kann man eine Bewerbung weiter springen.
Die Bewerbungen für reguläre Unesco-Stellen sind nur einsehbar, wenn man sich als Bewerber bei der Unesco registriert – das aber ist in wenigen Sekunden erledigt, man muss nur eine E-Mail-Adresse angeben. Dann kann man, wie auch bei der Praktikantendatenbank, die Bewerbungen durch eine simple Veränderung der Kennziffer in der Adresszeile aufrufen. Die von SPIEGEL ONLINE stichprobenweise eingesehenen Bewerbungen stammen aus den Jahren 2009 bis 2011, den Kennziffern zufolge enthält die Datenbank insgesamt gut 1,1 Millionen Datensätze. Wobei mit Sicherheit nicht jeder Datensatz einer echten Bewerbung entspricht, manche der Formulare wurden offenbar leer abgespeichert.
„Keinesfalls zur Weitergabe bestimmt“
SPIEGEL ONLINE hat mehrere Bewerber zu den offen herumliegenden Daten befragt – die Bewerbungen sind echt, die Kandidaten entsetzt: „Ich habe meine personenbezogenen Daten der Unesco zur internen Datenverarbeitung zur Verfügung gestellt, diese waren keinesfalls zur Weitergabe an Dritte bestimmt.“
Bemerkt hat das Datenleck vor mehr als einem Monat ein Bewerber. Er hatte schon die Zusage für ein Praktikum bekommen, da meldete sich ein Mitarbeiter der zuständigen Abteilung mit der Bitte, der Kandidat solle noch mal seine Daten im Web-Formular eingeben – man habe keinen Zugriff mehr auf die Daten. Der Bewerber allerdings kam problemlos heran – er hatte im Browser noch die URL der Druckansicht seiner Online-Bewerbung gespeichert. Und dann die Entdeckung: „Anschließend habe ich mit der ID herumgespielt und gesehen, dass ich auf alle Datensätze in der beschriebenen Form zugreifen kann.“
Am 21. März beschrieb der Bewerber das Problem in E-Mails, die SPIEGEL ONLINE vorliegen, der Unesco-Pressestelle und den zuständigen Abteilungen. Die Unesco reagierte nicht. SPIEGEL ONLINE informierte die Uno-Organisation am gestrigen Mittwoch über die Sicherheitslücke. Die Unesco reagierte zwar, hat aber bis zur Veröffentlichung dieses Artikels nicht auf die Anfragen zum Hintergrund des Datenlecks geantwortet. Eine der betroffenen Datenbanken ist seit Donnerstagnachmittag nicht mehr öffentlich zugänglich, die andere ist inzwischen auch offline.
Experten kritisieren den „schlampigen Umgang“ mit Daten
Aus den im Web verfügbaren Daten ließe sich binnen Minuten eine im Volltext durchsuchbare Datenbank erstellen – man müsste die Daten nur mit einem Skript automatisiert abrufen und entsprechend abspeichern.
Sicherheitsexperten erstaunt der laxe Umgang mit persönlichen Daten bei der Uno-Organisation. Sascha Pfeiffer, Sicherheitsberater beim Software-Anbieter Sophos, bewertet den Fall so: „Was die Unesco da macht, ist nicht schön. Dieser schlampige Umgang mit personenbezogenen Daten ist in Deutschland mit Sicherheit strafbar.“
Pfeiffer glaubt aber nicht, dass die Unesco-Bewerber ein besonders attraktives Ziel für rein profitorientierte Datendiebe sind: „Natürlich bringen ein paar zehntausend valide E-Mail-Adressen, Namen, Anschriften und Telefonnummern etwas Geld – aber da gibt es andere Datenquellen mit erheblich mehr Datensätzen, die sich leichter zu Geld machen lassen.“ Wenn man eine Million E-Mail-Adressen auf dem Schwarzmarkt kauft und Rolex- und Viagra-Spam verschickt, dürfte das mehr Umsatz bei weniger Aufwand bringen als eine Auswertung der Unesco-Daten. Das Fazit des Sicherheitsexperten: „Das Missbrauchspotential sehe ich in dem Fall als nicht so dramatisch. Das ist aber keine Entschuldigung dafür, so lax mit Bewerbungen umzugehen.“
Die Bewerbungen sind idealer Rohstoff für gezielte Angriffe
Allerdings könnten die Personenprofile, die man aus den bei der Unesco einsehbaren und abrufbaren Bewerbungen gewinnen kann, für andere Cyberangriffe interessant sein. Man könnte zum Beispiel herausfiltern, welche Bewerber derzeit in internationalen Organisationen oder dem diplomatischen Dienst einzelner Staaten arbeiten.
Wenn jemand die Computersysteme dieser Stellen infizieren will, sind solche Informationen ein wertvoller Ansatzpunkt. Denkbar ist zum Beispiel dieser Angriff: Man sendet dem Unesco-Bewerber, der derzeit bei der Weltbank tätig ist, eine präparierte E-Mail, die scheinbar von der Unesco kommt, sich auf die Bewerbung bezieht und zum Aufrufen einer präparierten Website auffordert. Spear-Phishing nennt man diese Methode. Diese Methode nutzen Angreifer aus China seit Jahren, um in Netzwerke westlicher Ministerien einzudringen.
Klickt die Zielperson den Link an, ist ihr Computer infiziert – und im schlimmsten Fall auch das Netzwerk ihres Arbeitgebers.
Anmerkung der Redaktion: Nach Veröffentlichung dieses Artikels hat die Unesco auch die zweite betroffene Datenbank aus dem Netz genommen. Wir haben den Text entsprechend angepasst.
Mitarbeit: Christian Stöcker
Quelle . spiegel.de