Es kommt einer Katastrophe gleich. Sensible Kundendaten waren im Internet frei zugänglich. Schuld daran sind nicht ausgefuchste Cyberkriminelle, sondern die Lieferanten und Nutzer der Datenbank MongoDB. Letztere hatten keinerlei Passwörter angelegt. "Der Fehler ist nicht kompliziert, seine Wirkung ist jedoch katastrophal", erklärte Informatik-Professor Michael Backes, Direktor des Kompetenzzentrum für IT-Sicherheit (CISPA) in Saarbrücken .

Zu den betroffenen Webseiten gehörte die Kundendatenbank eines französischen börsennotierten Internetdienstanbieters und Mobiltelefonie-Betreibers, die die Adressen und Telefonnummern von rund acht Millionen Franzosen enthielt. Laut Aussage der drei Saarbrücker Studenten befinden sich darunter auch eine halbe Million deutscher Adressen. Die Datenbank eines deutschen Online-Händlers inklusive Zahlungsinformationen hätten sie ebenfalls ungesichert vorgefunden. "Jedermann konnte mehrere Millionen Kundendaten mit Namen, Adressen, E-Mails und Kreditkartennummern im Internet abrufen oder gar verändern", teilte die Universität Saarbrücken am Dienstag mit.

Die Studenten am CISPA hatten über eine Suchmaschine nach MongoDB-Servern und Diensten gesucht. Bei vielen Suchtreffern sei der Zugang weder geschlossen noch in irgendeiner anderen Form abgesichert gewesen. "Eine so ungesicherte Datenbank im Internet gleicht einer öffentlichen Bibliothek ohne Bibliothekar mit weit offen stehender Eingangstür. Jeder kann dort rein", erklärte der Informatik-Professor Michael Backes.

Die Lücke betrifft nach Erkenntnissen der Studenten am CISPA knapp 40 000 Datenbanken . In erster Linie werden Datenbanken von Online-Diensten dazu verwendet, um Kundendaten anzulegen und zu verwalten. Web-Entwickler, Banken oder Online-Shops greifen auf MongoDB deshalb gerne zurück, da sie kostenlos ist. Darüber hinaus kann der Nutzer sie einfach bedienen. Die Datenbank wird von der gleichnamigen Firma MongoDB entwickelt, die sich als internationales Unternehmen mit US-Hauptquartieren in New York und Palo Alto sowie einer internationalen Zentrale in der irischen Hauptstadt Dublin versteht. MongoDB verdient das Geld mit Serviceleistungen für über 2000 Großkunden.

Zu dem Datengau ist es wegen eines Bedienungsfehlers gekommen. Betreiber wie Online-Shops können mit einem Klick die Datenbank in das Internet überführen. Leider haben viele Betreiber keine Passwörter erstellt. "Halten sie sich bei der Installation blind an die Leitfäden und bedenken nicht entscheidende Details, stehen die Daten schutzlos im Internet", erklärten die Saarbrücker Forscher. "Die Administratoren wussten wohl nicht, dass sie in einem zusätzlichen Schritt ein Passwort und Verschlüsselung anlegen müssen", sagt Stefan Nürnberger, wissenschaftlicher Mitarbeiter am CISPA. Seiner Ansicht nach ist der Sicherheitsmangel in der Bedienung von MongoDB zu finden. Die Software hätte den Nutzer besser darauf hinweisen müssen.

Nach Ansicht von Stefan Nürnberger wird MongoDB seine Kunden in Zukunft noch stärker darauf aufmerksam machen müssen, umgehend Passwörter anzulegen.