Bist du sicher, dass deine Daten bei labfolder sicher sind?

Was ist das Wichtigste für einen Wissenschaftler?

Seine wissenschaftlichen Daten!

Was ist demzufolge das Wichtigste, wenn ein Wissenschaftler einen Online-Dienst zur Datenverwaltung benutzt?

Die Sicherheit, dass niemand Fremdes auf seine Daten zugreifen kann!

labfolder ist so ein Dienst. Wissenschaftler können bei labfolder ihre Daten hochladen und verwalten. Wissenschaftliche Daten sind sehr sensible Daten. Simon Bunges, Geschäftsführer der labfolder GmbH, hatte einmal gemeint, Forschungsdaten gehörten zu den wertvollsten Daten der Welt. Auf der labfolder Webseite steht zum Thema Datensicherheit folgendes: “labfolder follows a strict and transparent policy to ensure the safety and security of your valuable scientific data […] All communications between your computer and labfolder is securely encrypted via SSL (256-bit)”. Das heißt, dass der Datentransfer zwischen dem labfolder Server und dem Rechner eines Nutzers verschlüsselt ist.

Aber was für Konsequenzen würde es haben, wenn diese Datenübertragung nicht verschlüsselt ist?

Wenn die Verbindung nicht verschlüselt ist, dann könnten fremde Bösewichte die Daten “mitlesen”, die zwischen dem labfolder System und dem Rechner der Nutzer ausgetauscht werden. Das kann man sich so vorstellen, wie das Abhören einer Telefonleitung. Der Fachbegriff dafür heißt Man-in-the-Middle. Dies ist eine Möglichkeit um an Daten in unsicheren IT-Systemen zugelangen.

Wenn Daten mit einem Online-Dienst ausgetauscht werden, möchte man als Nutzer sicher sein, dass nur der Online-Dienst die Daten sehen und verarbeiten kann. Genau dafür gibt es verschlüsselte Verbindungen. Läuft die Kommunikation aber nicht über eine verschlüsselte Verbindung, dann können sich Angreifer “dazwischen hängen” und alle Daten mitlesen und kopieren. Das betrifft auch Logindaten und Passwörter.

Damit die Verschlüsselung überhaupt technisch funktioniert, braucht der Online-Dienst ein sogenanntes SSL-Zertifikat. Mit diesem SSL-Zertifikat kann der Online-Dienst dann eine verschlüsselte Verbindung einrichten. Diese SSL-Zertifikate haben allerdings nur eine begrenze Laufzeit (meist ein oder zwei Jahre). Danach laufen sie ab und der Betreiber eines Online-Dienstes muss sich ein neues Zertifikat besorgen.

Und was hat das alles mit labfolder zu tun?

Das eben genannte Szenario ist bei labfolder eingetreten. Das SSL-Zertifikat ist abgelaufen und die Verantwortlichen bei labfolder haben es versäumt sich ein neues SSL-Zertifikat zu besorgen. Das bedeutet, genau ab dem Zeitpunkt, als das SSL-Zertifikat abgelaufen war, konnte nicht mehr garantiert werden, dass eine sichere Verbindung zwischen den Rechnern von Nutzern und dem labfolder System besteht. Somit war ein gravierendes Sicherheitsrisiko für eine Man-in-the-Middle Attacke gegeben.

Ist das denn so schlimm gewesen?

Wenn sich ein Nutzer mit seinem Nutzernamen und Passwort auf der labfolder Seite eingeloggt hat, dann bestand die Möglichkeit, dass die Logindaten (inklusive Passwort) von fremden Bösewichten mitgelesen wurden. Wahrscheinlich haben das die Nutzer nicht einmal gemerkt. Aber nun können sich die Bösewichte mit den Zugangsdaten einfach in die labfolder Accounts einloggen und haben vollen Zugriff auf alle wissenschaflichen Daten darin.

Die Verantwortlichen bei labfolder haben es nach einiger Zeit gemerkt, dass ihr SSL-Zertifikat abgelaufen ist und schließlich auch ein Neues besorgt. Allerdings besteht weiterhin ein großes Sicherheitsrisiko. Das kommt dadurch zustande, weil die Bösewichte das Passwort jetzt immer noch verwenden können. Dass die Verbindung wieder gesichert ist, spielt dabei keine Rolle. Wer das Passwort hat, kann sich ganz einfach in den Account einloggen. Jetzt und auch in Zukunft. Und es können alle wissenschaftlichen Daten gesehen, kopiert, manipuliert oder gelöscht werden.

Hätten die Verantwortliche bei labfolder etwas machen können?

Die Verantwortlichen bei labfolder hätten 3 Dingen machen können:

  1. Sie hätten die Nutzer ausloggen müsssen. Das heißt, wenn ein Nutzer das nächste Mal die labfolder Seite besucht, dann hätte der Nutzer sich neu einloggen müssen mit seinem Nutzernamen und Passwort.
  2. Sie hätten die Nutzer auffordern müssen ihr aktuelles Passwort zu ändern. Somit können die fremden Bösewichte nicht weiter das erlangte Passwort benutzen, um sich in den labfolder Account einzuloggen.
  3. Sie hätten die Nutzer informieren müssen, damit diese überhaupt Kenntnis davon haben, dass ein Sicherheitsrisiko besteht und Fremde wohlmöglich Zugriff auf die Daten haben.

Und was hat labfolder letztendlich gemacht?

Nichts, gar nichts, überhaupt gar nichts! Labfolder wusste ganz genau, dass dieses Sicherheitsrisiko besteht. Ein damaliger Nutzer hatte eine Email an Florian Hauer, der für die Kommunikation mit Kunden verantwortlich war, geschrieben. In dieser Email wurde das Sicherheitsrisiko wie oben dargestellt. Die Verantwortlichen bei labfolder können sich also nicht herausreden, dass sie es nicht gewusst hätten. Trotzdem haben sie nichts unternommen um die wisschenschaftlicher Daten ihrer Nutzer bestmöglich zu schützen.


Das war allerdings nicht das einzige Mal, dass es große Sicherheitsprobleme bei labfolder gab. Es gab noch weitere schwerwiegende Sicherheitslücken, bei denen fremde Bösewichte Zugriff auf Nutzerdaten hatten. In den folgenden Artikeln geht es aber nicht nur um Sicherheitslücken und Hackerangriffe. Es geht neben den sicherheitskritischen Themen auch darum,

  • dass labfolder Mitarbeiter nicht wie vereinbart bezahlt
  • dass es labfolder mit Datenschutzgesetzen nicht so genau nimmt
  • dass labfolder einen ehemaligen Mitarbeiter bei der Polizei anzeigt