Achtung: Offene Intranets verraten zu viel

Viele Firmen und Organisationen nehmen es mit dem Abschotten ihres Intranets nicht so genau. Die Folge ist, dass mitunter vertrauliche Daten versehentlich ins Internet gelangen und dort für jeden abrufbar sind. Wir haben mit simplen Google-Suchen ohne großen Aufwand einiges zutage gefördert. Mit dem richtigen Suchoperator bekamen wir Einblick in interne Dokumente einer Klinik und einer SPD-nahen Stiftung, auf Geburtsdaten, Festnetznummern und familiäre Details.

Suchoperatoren erlauben, Google-Suchergebnisse einzuschränken. Sucht man in Google nach "inurl:" direkt gefolgt von einem Suchbegriff, erhält man Treffer, in denen der Suchbegriff in der URL des Treffers enthalten ist. Sucht man nach "inurl:intranet" erhält man Treffer, die zu Intranets von Firmen, Vereinen oder Universitäten führen. Darunter sind Login-Seiten von Intranets, aber eben auch Inhalte, die eigentlich nicht für jedermann aufrufbar sein sollten.

Da suchten zum Beispiel der Verein Familiengesundheit 21 e.V. und die Demenz-Hilfe Allgäu nach Kandidaten für eine Pflegeausbildung. In einer Excel-Tabelle wurden intern von den zwei Dutzend Interessentinnen persönliche Daten wie Telefonnummer, E-Mail-Adresse und auch Persönliches festgehalten. Da die Datei ungeschützt im Internet steht, kann nun jeder erfahren, dass eine Interessentin, die in dem Dokument namentlich genannt wird, "evtl. noch Probleme mit der Kinderbetreuung" hat. Bei einer anderen namentlich genannten Bewerberin wurde festgehalten: "Pflegende Angehörige, 90 jähriger Vater demenzbetroffen". Bei einer Bewerberin war ein „kleines Taschengeld erwünscht“, bei einer anderen Interessentin ist nachzulesen, mit wem sie befreundet ist und dass sie im Gospelchor singt. Vom Verein und der Demenz-Hilfe Allgäu war auf Anfrage keine Stellungnahme zu erhalten.

Gesundheitsbezogene Daten

Der Lions Club Hersbruck hat in einem Dokument, das ebenfalls online steht, festgehalten, wer Spenden geleistet hat. Darunter auch die Stadtverwaltung und die öffentlichen Stadtwerke in Hersbruck. Der Hersbrucker Verein suchte außerdem auch Helfer für ein Altstadtfest. In einer Excel-Tabelle hielten die Organisatoren fest, wer wann Standdienst leisten kann. In der Datei, die ebenfalls über Google auffindbar ist, stehen heute, zwölf Jahre später, bei einigen Personen Dinge wie "gesundheitlich dazu nicht in der Lage" oder "verletzt". Nach dem Bundesdatenschutzgesetz sind gesundheitsbezogene Angaben als "besondere Arten personenbezogener Daten" ausdrücklich geschützt. Auch der Lions Club nahm auf unsere Anfrage keine Stellung.

Die Tropenklinik Paul-Lechler-Krankenhaus nahm die Urlaubsplanung ihrer Mitarbeiter in einer großen Tabelle vor – sie stand offen im Internet. Dort sind die exakten Urlaubszeiten von 30 namentlich genannten Mitarbeitern für die Jahre 2013 bis 2015 festgehalten, Urlaubswünsche, Fortbildungen, wann jemand keinen Bereitschaftsdienst machen kann und wann jemand Nachtdienst machen möchte. Bei einer Mitarbeiterin ist vermerkt, wann sie wieviel Fehltage wegen Krankheit hatte. Der Leiter des Fachbereichs Tropenmedizin, Johannes Schäfer, erklärte auf Anfrage, er habe zwei Dateien "vor einigen Monaten nur zu Testzwecken hochgeladen". Sie seien "für das Intranet bestimmt" gewesen: "Mir ist nicht klar, wie von außen darauf zugegriffen werden kann. Dies war nicht beabsichtigt, die Dateien habe ich umgehend gelöscht."

Selbst geleakt

Ein besonders offenes Intranet hatte die als gemeinnütziger Verein organisierte, SPD-nahe Friedrich-Ebert-Stiftung (FES). In ihrer selbst geleakten Übersicht kann man jede Menge Details über die Projekte der Asiensparte der Stiftung nachlesen. Dem Dokument kann man entnehmen, dass viele Projekte der FES in Asien verwirklicht wurden, in dem Dokument grün markiert. An zwei Stellen gibt es jedoch Rot: Ein FES-Projekt konnte nicht umgesetzt werden, weil ein "Asia-Europe Roundtable Briefing" in Bandar Seri Begawan (Brunei) abgesagt wurde. An einer weiteren Stelle in dem Dokument ist ein ganzes Feld, in dem ansonsten die Kosten der aufgelisteten Projekte stehen, ebenfalls rot markiert und leer. In der Spalte "Anmerkung" daneben ist vermerkt "Willy Brandt School".

Die Friedrich-Ebert-Stiftung räumte auf Anfrage ein, versehentlich Intranet-Daten online gestellt zu haben. "Die Information, dass sich ein internes Dokument der Friedrich-Ebert-Stiftung an einer öffentlich zugänglichen Stelle im Internet befindet, hat uns überrascht und erschreckt. Diese Art von Dokumenten befindet sich normalerweise in einem passwortgeschützen Intranet-Bereich. Eine Erklärung, wie es dorthin geraten konnte, gibt es noch nicht, da eine Antwort von dem für IT-Angelegenheiten zuständigen Mitarbeiter unseres Büros in Jakarta noch nicht vorliegt", erklärte Peter Donaiski von der Friedrich-Ebert-Stiftung. (Mitarbeit: Vaclav Demling) (hob)