Datenleck bei der LEG: Jeder konnte Schulden von anderen sehen - und mehr

mlzDatenschutz

Der Informatikstudent David Kurz war bereits im Sommer auf eine riesige Sicherheitslücke bei der Wohnungsgesellschaft LEG gestoßen. Die LEG gibt ein Leck zu - und zeigte den Studenten an.

Dortmund

, 18.11.2019, 08:00 Uhr / Lesedauer: 2 min

David Kurz machte im Sommer eine überraschende Entdeckung: Der Informatikstudent loggte sich in sein eigenes Mieterkonto im Online-Portal des Wohnungskonzerns LEG ein. Probeweise veränderte er die letzte Ziffer der Vertragsnummer in der Adresszeile um den Wert von 1. Und schon waren die Mieterdaten seines Vormieters sichtbar: persönliche Daten und Informationen zum Mietverhältnis.

Erstaunt variierte Kurz die Eingaben weiter und stieß auf andere Mieterkonten mit Angaben wie Beginn und Kündigung des Mietvertrags, Wohnungsgröße, Kaltmiete und Nebenkosten. Zudem konnte er Guthaben und Schulden von Mietern einsehen. Der Kölner Informatikstudent informierte umgehend den nordrhein-westfälischen Datenschutzbeauftragten, die LEG und das externe Betreiberunternehmen.

Rund 13.500 Mietwohnungen in Dortmund

In Dortmund vermietet die LEG rund 13.500 Wohnungen. Wie viele Mieter davon Opfer des Datenlecks waren, will LEG-Sprecher Mischa Lenz nicht sagen – mit Verweis auf laufende Gerichtsverfahren, die der Wohnungskonzern gegen den Studenten Kurz angestrengt hat. Man habe unmittelbar nach Bekanntwerden der Sicherheitslücke die betroffenen Mieter auch in Dortmund angeschrieben. Es seien bei Weitem nicht alle betroffen gewesen.

Dem widerspricht David Kurz gegenüber dieser Redaktion. „Alle Mieter, auch die in Dortmund, waren potenziell betroffen. Auch diejenigen, die im Portal nicht registriert waren und auch heute keine LEG-Mieter mehr sind.“

Die Aussage des LEG-Sprechers, dass alle betroffenen Mieter von dem Datenleck unterrichtet worden seien, sei nicht richtig, behauptet Kurz: „Ich habe Kontakt zu einem Mieter, der bis heute kein Schreiben bekommen hat.“

Jetzt lesen

Die Aufdeckung des Datenlecks dankte die LEG David Kurz mit einer Strafanzeige. Er habe das Sicherheitssystem mit krimineller Energie geknackt. Der Student wehrte sich per einstweiliger Verfügung und bekam Recht. Das Landgericht Düsseldorf untersagte es der LEG Ende Oktober, Kurz als kriminellen Täter zu bezeichnen.

Kleine Anfrage im Landtag

Die Richter kamen zu dem Ergebnis, dass die LEG, die das Mieterportal im Internet seit 2018 betreibt, keine Schutzvorrichtung für die Daten der Mieter eingerichtet hatte. Ein Student habe diese Sicherheitslücke aufdecken und mühelos Hunderte Datensätze kopieren können.

Nach Bekanntwerden der Datenlücke hatte die LEG das Mieterportal abschalten und überprüfen lassen. Inzwischen ist die Sicherheitslücke den Angaben nach geschlossen.

Die Grünen im Landtag haben das am Dienstag (12. November) zum Anlass für eine Kleine Anfrage genommen. Sie fragen unter anderem, welche weiteren Fälle von Datenlecks bei Online-Mieterportalen der Landesregierung bekannt sind. Die Antworten stehen noch aus.

Schlagworte:
Lesen Sie jetzt