Ein falsch konfigurierter Server bei der Rechtsplattform Advocado legte sensible Dokumente von über 18.000 Kunden offen. Der Chaos Computer Club übt scharfe Kritik.
Wer juristischen Rat sucht, vertraut darauf, dass seine intimsten Angelegenheiten hinter einer Mauer aus Verschwiegenheit und Sicherheit geschützt sind. Ob es um Probleme mit dem Betäubungsmittelgesetz, Ärger mit der Unfallversicherung oder die Folgen eines Kreditkartenbetrugs geht: Mandantendaten gehören zu den sensibelsten Informationen überhaupt. Für das Portal Advocado, das sich als moderne Schnittstelle zwischen Ratsuchenden und über 550 Partneranwälten präsentiert, ist dieses Vertrauen die Geschäftsgrundlage. Doch ein gravierendes Datenleck zeigt nun, dass die digitale Sicherheit hinter dem Versprechen der schnellen Rechtshilfe offenbar nicht zurückstehen konnte.
Der Chaos Computer Club (CCC) hat eine eklatante Sicherheitslücke aufgedeckt, die den Zugriff auf einen öffentlich erreichbaren Cloudspeicher des Unternehmens ermöglichte. Wie die Hackerorganisation dem Spiegel steckte, stießen die Experten auf einen digitalen Schatz an Vertraulichkeite. Dieser soll nahezu ungeschützt im Netz gelegen haben. Die Liste der betroffenen Dokumente liest sich wie ein Albtraum für Datenschützer: Rechnungen, Kopien von Personalausweisen, Inkassoschreiben und sogar Aufzeichnungen von Beratungsgesprächen waren offenbar über den Amazon-S3-Bucket einsehbar.
CCC-Sprecher Matthias Marx, der die Schwachstelle bereits 2025 ausmachte, beschreibt den Vorfall gegenüber dem Magazin als Paradebeispiel für mangelnde Sorgfalt. Technisch gesehen war der Einbruch in das System keine Meisterleistung, da die Sicherheitsbarrieren quasi nicht existent waren. Ein falsch konfigurierter Webserver der Plattform gab Konfigurationsdateien preis, die niemals für die Öffentlichkeit bestimmt waren. In diesen Dateien fanden sich dem Bericht nach Zugangsdaten für verschiedene interne Dienste, darunter auch für das Gitlab-Konto des Unternehmens. Über diesen Umweg gelangte Marx an die Software-Interna und schließlich an die Zugangsdaten für den besagten Cloudspeicher.
Das Bild, das der CCC zeichnet, ist drastisch und anschaulich: Die Schlüssel zu den hochvertraulichen Daten lagen gewissermaßen unter einer digitalen Fußmatte. Angreifer müssen für solche Funde oft nicht einmal gezielt ein einzelnes Unternehmen ins Visier nehmen. Automatisierte Scans durchsuchen das Internet kontinuierlich nach genau solchen Fehlkonfigurationen. Werden sie fündig, stehen den Akteuren Tür und Tor offen. Im Fall von Advocado reichte ein einfacher Blick in den S3-Bucket, um die Brisanz der Lage zu erkennen.
Nachdem der CCC das Unternehmen und die zuständige Berliner Datenschutzbehörde informierte, schloss Advocado die Lücke zwar umgehend. Doch der Imageschaden dürfte länger bleiben. Die Berliner Datenschutzbeauftragte Meike Kamp bestätigte den Vorgang und gab an, dass insgesamt 18.535 Personen von dem Leck betroffen seien. Zwar gibt es laut der Behörde bisher keine Hinweise darauf, dass Kriminelle die Daten bereits kopiert oder missbraucht haben. Doch allein die theoretische Abrufbarkeit stellt einen schweren Verstoß gegen die Integrität des Mandantengeheimnisses dar.
Die Kritik des CCC wiegt schwer, da es sich um einen „technisch langweiligen“ Fehler handelt. Es mussten keine komplexen Firewalls überwunden oder Zero-Day-Exploits genutzt werden. Stattdessen war es schlichte Nachlässigkeit bei der Administration der Serverlandschaft. Marx bemängelt, dass Sicherheit bei der Entwicklung und dem Betrieb der Plattform offenbar keine Priorität genossen habe. Für die Experten ist Advocado aber kein Einzelfall. Immer wieder stoßen die ehrenamtlichen Helfer des Clubs auf ähnliche Versäumnisse bei Legal-Tech-Dienstleistern, die beispielsweise Entschädigungen für Fluggastrechte durchsetzen wollen.
Kamp appelliert daher an die Branche: Der Vorfall müsse als Weckruf für Rechtsbeistände und Kanzleien dienen, den Stellenwert der IT-Sicherheit zu erhöhen. Wenn die Digitalisierung des Rechtswesens gelingen soll, darf die Vertraulichkeit nicht der Bequemlichkeit oder einer schnellen Markteinführung geopfert werden. Während das Unternehmen selbst auf Anfragen bisher schweigt, bleibt für die über 375.000 Kunden der Plattform die Ungewissheit, wie sicher ihre sensiblen Daten in der Zukunft tatsächlich sind.
Stefan Krempl
Keine Kommentare:
Kommentar veröffentlichen