Kurzfristige Verwundbarkeit der Systeme des Bundesschiedsgerichts


Seit dem 14. September 2018 konnte auf den Suchindex-Dienst des Bundesschiedsgerichts der Piratenpartei Deutschland ohne Zugriffskontrolle vom Internet aus zugegriffen werden. Mittels Suchanfragen konnte so auf die Akten der Verfahren BSG 1 / 2017 bis BSG 14 / 2018, insgesamt 19 Verfahrensakten, zugegriffen werden.

Die Lücke wurde durch das Bundesamt für Sicherheit in der Informationstechnik bemerkt. Unser Provider hat uns am 3. Oktober 2018 um 15:10 darüber informiert. Die Lücke wurde noch am gleichen Tag um 17:55 geschlossen. Ob tatsächlich Daten von Unbefugten abgegriffen wurden, liess sich im Nachgang nicht feststellen. Dies ist jedoch aus unserer Sicht unwahrscheinlich.

Bei den zugreifbaren Daten handelt es sich um Textinhalte aus den 19 Verfahrensakten, insbesondere um die Schriftsätze der Verfahrensparteien und die nicht anonymisierten Urteile und Beschlüsse des Bundesschiedsgericht. Betroffen waren somit auch die Postanschriften und Mailadressen von Verfahrensbeteiligten. Abzüglich der Richter und die Gliederungen vertretenden Vorstandsmitglieder waren 10 Personen betroffen.

Ursache der Verwundbarkeit war ein Konfigurationsfehler beim Aufsetzen des Suchindex-Dienstes. Dieser konnte umgehend behoben werden. Ausserdem wurden zusätzliche Maßnahmen getroffen, damit ähnliche Fehler in Zukunft nicht mehr zu einer Verwundbarkeit führen.

Die betroffenen Personen wurden von uns bereits benachrichtigt.

Wir entschuldigen uns wegen dieses Fehlers.

Weitere Fragen zu diesem Vorfall sind bitte an den Datenschutzbeauftragten der Piratenpartei Deutschland zu richten:

Marc Becker
Datenschutzbeauftragter
Piratenpartei Deutschland
Pflugstraße 9a
10115 Berlin
Tel.: 0176-56960671
Mail: dsb@marcbecker.info