Fahrlässiger Umgang mit Daten von Visa-Antragstellern

Die von britischen Behörden beauftragte indische Firma Visa Facilitation Services (VSF) zeigte einen erschreckend fahrlässigen Umgang mit vertraulichen Daten von Visa-Antragstellern. Die Firma betrieb seit September 2004 einen Web-Service, über den in Nigeria, Russland und Indien Visa-Anträge für die Einreise nach Großbritannien gestellt werden konnten. VSF sammelte die online eingegebenen persönlichen Daten der Antragsteller ein und leitete sie an die zuständige Stelle UKvisas des Foreign and Commonwealth Office weiter. Durch einfache Mittel sei es Fremden möglich gewesen, die persönlichen Daten von Antragstellern einzusehen, berichtet heise Security UK über die Ergebnisse einer Untersuchung der unabhängigen UKvisas-Aufseherin Linda Costelloe Baker.

Allein in Indien werden jährlich 470.000 Visa-Anträge für die Einreise nach Großbritannien gestellt, 50.000 davon online, heißt es in dem Bericht. Im Dezember 2005 sei es einem indischen Nutzer gelungen, durch einfache Veränderung einer User-ID in der URL der Website an Informationen über andere Nutzer zu gelangen. Er habe VFS und die British High Commission darüber informiert, aber keine Antwort erhalten. Ähnliches wird in zwei Fällen aus Nigeria berichtet. Im Mai dieses Jahres schilderte der Inder das Problem in einem Blog und wandte sich in einer Beschwerde an den britischen Security Service (MI5). Kurze Zeit später bekam ein Journalist Wind von der Angelegenheit und stellte fest, dass anderthalb Jahre nach der ersten Beschwerde der Fehler immer noch nicht verbessert worden war. Nun erst wurden auf Anweisung von UKvisas die betreffenden Webseiten vom Netz genommen.

Dem unabhängigen Bericht ist zu entnehmen, dass VFS eine Reihe von Nachlässigkeiten begangen hat. Beispielsweise wurden die IDs für Visa-Anträge sequentiell vergeben und das Session Management habe es ermöglicht, die URL zu manipulieren, um an Daten heranzukommen, die in nicht gelöschten temporären Dateien abgespeichert waren. Zudem sei die SQL-Datenbank des Antragssystems weitgehend ungesichert gewesen und offen für SQL Injections. Das Passwort-Management sei fahrlässig gehandhabt worden und Skype sowie Web-Mail auf der Maschine mit der Firewall-Managementkonsole betrieben worden.

Im Verlauf der Untersuchung sei der Verdacht aufgekommen, dass das System nie getestet worden sei, heißt es in dem Bericht. Das VFS-Online-System sei so armselig, dass es komplett neu erstellt werden müsste. Mittlerweile habe VFS eingesehen, dass sie keine IT-Firma ist und die Software-Entwicklung auslagern müsse. Costelloe Baker hatte das Office of Government Commerce um eine Untersuchung der Auftragsvergabe von UKvisas an VSF gebeten. Nach Sichtung der Ergebnisse kommt die Aufseherin zu dem Schluss, dass bereits bei der Auftragsvergabe grundlegende Regeln nicht eingehalten worden seien. (anw)