Ab dem 1. Juli 2024 werden in Deutschland dank des Cannabisgesetzes die Optionen für gemeinnützige Vereine geschaffen, ihren Mitgliedern selbst angebautes Cannabis zum Selbstkostenpreis darzureichen. Diese sogenannten Cannabis Social Clubs (CSCs) müssen dafür aber sorgfältig Buch über alle Prozesse führen und ihre Aufzeichnungen im Fall der Fälle den danach fragenden Behörden zur Verfügung stellen.
Dabei geht es nicht nur um die persönlichen Daten der Mitglieder, wie Vor- und Nachnamen, E-Mail-Adressen, Geburtsdaten, Postleitzahlen und die Zeitpunkte der Registrierung, sondern ab Juli dann auch um Abgabedatum, die ausgegebene Menge und den THC-Gehalt der in Empfang genommenen Knospen. Diese Daten müssen dann sogar fünf Jahre gespeichert werden, falls irgendwann einmal die mit Zugriffsrechten versehenen Behörden an einer Einsicht ein Interesse haben sollten.
Aus diesem Grund, doch wohl auch weil sich Gegner der Legalisierung in der Politik geäußert haben, das Cannabisgesetz bei Wahlerfolgen wieder rückgängig machen zu wollen, sind einige Cannabisnutzer skeptisch, ihre persönlichen Daten preiszugeben, nur um von einem CSC mit bis zu 50 Gramm Marihuana pro Monat versorgt werden zu können. Wie aktuelle Entwicklungen zeigen, zu guter Recht, denn nicht nur Behörden könnten auf die verfügbaren Datensätze zugreifen wollen, auch Menschen oder Gruppen mit kriminellen Attitüden erhalten leider die Möglichkeit, sich an den gespeicherten Informationen über die Mitglieder zu vergreifen.
Wie das Hackerkollektiv „Zerforschung“ jetzt herausgefunden hat, ist in einer für CSCs im Einsatz befindlichen Software eine gravierende Sicherheitslücke vorhanden, sodass Außenstehende tatsächlich in den Besitz der Daten von Mitgliedern gelangen konnten.
Was dich auch interessieren könnte...
Mehr als 1000 Mitglieder enttarnt
Wie verschiedene Nachrichtenportale berichten, hat das Hackerkollektiv „Zerforschung“ bereits vor Ostern die für CSCs nutzbare Software-Lösung namens „CanGuard“ des Unternehmens Thingbring GmbH untersucht und herausgefunden, dass die Verwaltungs-Software unsicher ist. E-Mail-Adressen, Geburtsdaten, Postleitzahlen und „gehashte Passwörter“ waren offensichtlich in dieser Zeit für Dritte einsehbar und selbst eine Übernahme der jeweiligen Konten war anscheinend möglich. Ebenfalls konnte eingesehen werden, ob die entsprechende Person nur ein Mitglied in einem Club ist oder sogar als Besitzer eingetragen wäre. Schon am 27.03.2024 habe „Zerforschung“ das Unternehmen, das sein Produkt als „einfach, digital und rechtskonform“ bezeichnet, darauf detailliert hingewiesen, in welchem Maße hier eine Sicherheitslücke klafft.
Die Betreiber der Social Clubs, die auf „CanGuard“ setzen, waren aber noch nicht einmal eine Woche später über diese Tatsache informiert worden. Grund für die möglichen Zugriffe seitens Unbefugter wären bei „Canguard“ wohl mehrere ungesicherte API-Endpunkte, sodass über diese Punkte die Daten der registrierten Cannabis-Clubs sowie die Daten der Mitglieder sich problemlos abrufen und verändern ließen. „Zerforschung“ beschreibt die Software daher in einem Blogpost als bis jetzt nicht marktreif. Sie stecke „erkennbar noch in den Kinderschuhen“, so das Kollektiv. Wenn ein Produkt marktreif genug wäre, um Kundendaten speichern zu können, müsse es auch in der Lage sein, diese Daten sicher verwahren zu können. Laut Meldungen seien über 1000 Personen von dem Datenleck betroffen.
LfD wohl nicht informiert
Eigentlich wären die Verantwortlichen beim Auftritt eines Datenlecks in jedem Fall dazu verpflichtet, sich innerhalb von 72 Stunden beim zuständigen Landesbeauftragten für Datenschutz (LfD) zu melden. Es ist aktuell aber noch ungeklärt, ob die ThingBring GmbH selbst dazu verpflichtet gewesen wäre. Ansonsten hätten die von der ThingBring GmbH nicht informierten Klubs selbst eine Meldung bei ihrem jeweiligen LfD machen müssen. Eine schnelle Inkenntnissetzung seitens des Unternehmens über das bestehende Problem gehöre aber eigentlich zu den Pflichten des weiterhin sein Produkt online anpreisenden Software-Anbieters.
Laut ARD-Recherche des Formats „Kontraste“ waren selbst eine Woche nach dem Bescheid des Hackerkollektivs noch keine Meldungen zu dem Vorfall beim LfD eingegangen. Wie die Berliner „taz“ prognostiziert, dürfte dieses frühe Leck kein Einzelfall bleiben. In den kommenden Zeiten könnten sich derartige Vorgänge wiederholen, da eine Speicherung persönlicher Daten immer Begehrlichkeiten bei Anderen wecken könnten. Einhundertprozentige Sicherheiten gäbe es dabei nicht. Leider lege das CanG den Fokus „ganz klar auf umfassende Datenspeicherung und nicht auf die Sicherheit der verwahrten Daten“, so die Zeitung aus Berlin. Problematisch sei dazu auch, dass selbst nach einer Schließung von Sicherheitslücken, das Kind bereits in den Brunnen gefallen wäre und der Diebstahl persönlicher Daten – wie die Identität – bei Betroffenen noch über Jahre spürbar sein könne.
In jedem Fall sind solche Vorkommnisse nicht sonderlich zuträglich und vertrauenerweckend für alle interessierten Personen, die einer Mitgliedschaft in einer Cannabis-Anbauvereinigung bislang noch etwas skeptisch gegenüberstehen. Da klingt die Option des analogen Eigenanbaus doch wirklich wesentlich verlockender und sicherer.
