Verden, 16. Juli 2019. Der Verein Campact hat heute ein Datenproblem an die niedersächsische Landesbeauftragte für den Datenschutz gemeldet. Auch die Betroffenen werden derzeit informiert. Sie erhalten eine E-Mail der Campact-Geschäftsführung mit Details zu dem Vorfall und einer Entschuldigung.
Software- und Konfigurationsfehler bei WeAct behoben
Am 4. Juli war ein Software- und Konfigurationsfehler auf der zu Campact gehörenden Petitions-Plattform WeAct durch einen Dienstleister entdeckt und an Campact berichtet worden. Dieser bewirkte, dass personenbezogene Daten von rund 1,8 Millionen Menschen, die WeAct-Petitionen unterstützt haben, unzureichend vor einem möglichem unberechtigten Zugriff geschützt gewesen waren. Bei den betroffenen Daten handelte es sich um Namen, Postleitzahlen sowie teilweise E-Mail-Adressen. Bei rund 20.000 Menschen war es die Antwort auf die Frage, ob sie einer Gewerkschaft angehören. Weitere Daten wie Anschriften, Passwörter oder gar Bankdaten waren nicht betroffen. Der Fehler wurde sofort nach der Entdeckung behoben. Nach bisherigen Erkenntnissen erfolgte auch kein unberechtigter Zugriff auf die betroffenen Daten.
Kein unberechtiger Zugriff auf die Daten
“Wir haben bei den Betroffenen um Entschuldigung für den Fehler gebeten“, sagt Campact-Vorstand Felix Kolb. “Wir arbeiten intensiv daran, die Ursache zu analysieren um sicherzustellen, dass ein solches Problem in Zukunft nicht wieder auftritt. Dazu überprüfen wir mit unserem Datenschutzbeauftragten, unseren technischen Dienstleistern und anderen versierten Expertinnen und Experten die Sicherheitsvorkehrungen.” Die Recherche zu den Betroffenen nahm einige Tage in Anspruch. Nach der Erstmeldung am 9. Juli wurden heute die recherchierten zusätzlichen Informationen bei der Datenschutzbehörde eingereicht.
Alle Betroffenen informiert
Auf der Petitions-Plattform WeAct kann jedermann/jederfrau Petitionen starten, die dann online mit Namen, Vornamen, Mail-Adresse und Postleitzahl unterzeichnet werden können. Die Petitionen richten sich an Zuständige in Politik und Wirtschaft. Die Petitionen werden ihnen im Lauf einer Kampagne in ausgedruckter Listenform von denjenigen übergeben, die die Petition gestartet haben. Die dafür notwendigen Daten wurden versehentlich online so gespeichert, dass sie theoretisch für Externe einsehbar waren. Dazu wäre aber die Kenntnis der exakten Bezeichnung der Dateien nötig gewesen.
Aus Gründen des Datenschutzes hatte sich Campact beim Aufbau des Systems entschieden, die WeAct-Software nicht in der eigentlich vom Hersteller vorgesehenen Amazon-Cloud, sondern auf eigenen Servern in einem deutschen Rechenzentrum zu betreiben. Es ist daher für Campact umso ärgerlicher, dass ein Fehler in dieser Alternativ-Software zu diesem Problem geführt hat. Um auszuschließen, dass es andere Fehler gibt, wird Campact eine externe Sicherheitsfirma mit einer Untersuchung beauftragen.
Weitere Informationen:
https://blog.campact.de/2019/07/technischer-fehler-bei-weact/