Datenleck: Zehntausende Bewerber der Unesco betroffen
Wenn es nicht so bestürzend wäre, könnte man es für das Resultat der aktuellen Datenpannen-Hysterie und der sich daraus ergebenden hohen Sensibilität für derartige Themen halten. Allerdings führt ein kürzlich bekannt gewordener Umgang mit Bewerberdaten bei der Unesco auch objektiv zur bekannten Dauerbewegung: Kopfschütteln.
Die Organisation der Vereinten Nationen für Erziehung, Wissenschaft und Kultur (Unesco) habe laut einem Bericht des Spiegel zehntausende, möglicherweise sogar hunderttausende Bewerbungsunterlagen für jedermann zugänglich gemacht. Betroffen gewesen seien die Bewerbungsunterlagen für Praktikumsplätze sowie jene für reguläre Stellen in der Organisation. Während erste ohne einen größeren Aufwand abgerufen werden konnten, hätte man sich für den Zugang zu letzteren bei der Unesco als Bewerber registrieren müssen. Dies sei jedoch lediglich mit der Angabe einer E-Mail-Adresse möglich gewesen, so der Spiegel, sodass auch der Zugang zu diesen Bewerbungsunterlagen nicht schwierig gewesen sei.
Dabei waren die zugänglichen Daten durchaus brisant: Neben Telefonnummern, Anschriften, E-Mail-Adressen und Namen seien auch genaue Auskünfte zu bisherigen Arbeitgebern, zum Bildungsweg, zu Sprachkenntnissen sowie zum Teil auch Namen und Anschriften von Verwandten der Kandidaten abrufbar gewesen. Die simple Manipulation, die hierfür getätigt werden musste, bestand in der Veränderung der Bewerbungskennziffer in der URL auf der Unesco-Seite. Bewerbungen auf Praktikumsplätze wurden etwa mit der Ziffer 2 bis 79998 in den Jahren 2006 bis 2011 durchnummeriert und waren über eine Veränderung der Kennziffer allesamt abrufbar. Ähnlich verhielt es sich laut Spiegel bei den Bewerbungen auf reguläre Unesco-Stellenangebote, wobei das Datensatzportfolio hier über 1,1 Millionen Einträge umfasste. Nicht alle davon wurden vollständig ausgefüllt, die Zahl der validen Datensätze könnte dennoch in die Hunderttausende gehen.
Erschreckend ist zudem, dass das Datenleck der Unesco anscheinend schon vor über einem Monat von einem Bewerber auf ein Praktikum gemeldet worden sei. Dieser habe den durch Manipulationen leicht möglichen Zugang zu anderen Bewerbungsunterlagen bemerkt und die Unesco per E-Mail über das Datenleck informiert. Allerdings änderte sich bis zum Spiegel-Artikel nichts an der Datensicherheit; mittlerweile sollen beide Datenbanken aber abgesichert worden sein. Ob bis dahin Datensätze in großem Umfang von der Unesco-Seite gesammelt wurden, ist allerdings nicht auszuschließen.
Für das große Geld seien die Daten allerdings nicht geeignet gewesen, so ein vom Spiegel zitierter Sophos-Sprecher. Der Sicherheitsexperte räumt zwar ein, dass ein paar zehntausend valide Datensätze auf dem Schwarzmarkt etwas Geld einbrächten, es ließen sich allerdings aus anderen Quellen leichter mehrere Millionen Datensätze beschaffen, mit denen man mehr Geld machen könnte. Denkbar sind allerdings Fälle des sogenannten Spear-Phishings, bei dem gezielt Personen mit Phishing-Mails konfrontiert werden. Hierbei könnten die Datensätze dazu dienen, relevante Zielpersonen ausfindig zu machen, um sich dann über Phishing-Mails Zugang zu deren Rechnern und dem Rechnernetz des Arbeitgebers zu verschaffen.