{"id":967,"date":"2011-12-01T17:09:52","date_gmt":"2011-12-01T16:09:52","guid":{"rendered":"http:\/\/www.daniel-ritter.de\/blog\/?p=967"},"modified":"2011-12-02T21:40:22","modified_gmt":"2011-12-02T20:40:22","slug":"online-melderegisterauskunft-in-dusseldorf-unsicher","status":"publish","type":"post","link":"https:\/\/www.daniel-ritter.de\/blog\/online-melderegisterauskunft-in-dusseldorf-unsicher\/","title":{"rendered":"Online Melderegisterauskunft in D\u00fcsseldorf macht schlechten Eindruck"},"content":{"rendered":"

Mir war nicht ganz klar, welche pers\u00f6nlichen Daten das Einwohnermeldeamt an wen weitergeben darf. Ich bin nach etwas Recherche auf diese Aktion<\/A> der PIRATEN gesto\u00dfen, die dazu auffordern, der Weitergabe der eigenen Daten bei den Melde\u00e4mtern zu widersprechen. Viele Melde\u00e4mter geben die Daten n\u00e4mlich inzwischen jedem!<\/b> der zahlt. Dem kann man nur durch einen Widerspruch entgehen.<\/p>\n

Daten von den Melde\u00e4mtern werden weitergegeben an:<\/p>\n

\r\nStaatliche Beh\u00f6rden, bei berechtigtem Interesse im Rahmen der Amtshilfe \r\n<\/pre>\n
Also z.B. Polizei, Staatsanwaltschaft, statistische \u00c4mter, etc.<\/p>\n
\r\ndie GEZ\r\n<\/pre>\n
Die Br\u00fcder kennen wir ja schon zur Gen\u00fcge.<\/p>\n
\r\nParteien, W\u00e4hlergruppen und anderen Tr\u00e4gern von Wahlvorschl\u00e4gen im\r\nZusammenhang mit Parlaments- und Kommunalwahlen; \u00a7 35 Abs.1 MG NRW\r\n<\/pre>\n
Um die h\u00fcbsche Hochglanz-Wahlwerbung zu erhalten.<\/p>\n
\r\nan Antragsteller und Parteien im Zusammenhang mit Volksbegehren und\r\nVolksentscheiden sowie mit B\u00fcrgerentscheiden; \u00a7 35 Abs.2 MG NRW\r\n<\/pre>\n
Um Hochglanz-Entscheidungshilfen bei den h\u00e4ufigen Volksabstimmungen zu erhalten.<\/p>\n
\r\nim Wege des automatisierten Abrufs \u00fcber das Internet; \u00a7 34 Abs.1b MG NRW<\/font>\r\n<\/pre>\n
Das ist der Punkt, der mir bisher nicht bekannt war. \u00dcber ein Internetportal kann
\njeder, der einige Kenndaten einer Person kennt automatisiert \u00fcber das Internet
\nMeldeausk\u00fcnfte einholen. Die Abfrage kostet zur Zeit 4 Euro pro Datensatz in D\u00fcsseldorf.<\/p>\n
Das Meldegesetz NRW sagt an dieser Stelle:<\/p>\n
\r\nhttps:\/\/recht.nrw.de\/lmi\/owa\/br_bes_text?anw_nr=2&gld_nr=2&ugl_nr=210&bes_id=4655&aufgehoben=N&menu=1&sg=<\/a>\r\n\r\n\u00a7 34 Abs.1b MG NRW\r\n(1b) Soll der Abruf \u00fcber das Internet erm\u00f6glicht werden, ist sicherzustellen, dass das Antragsverfahren und die Auskunftserteilung in verschl\u00fcsselter Form erfolgen. Die Er\u00f6ffnung des Zugangs ist \u00f6ffentlich bekannt zu machen. Ein Abruf ist nicht zul\u00e4ssig, wenn der Betroffene dieser Form der Auskunftserteilung widersprochen hat. Die Meldebeh\u00f6rde hat sp\u00e4testens einen Monat vor der Er\u00f6ffnung des Internetzugangs durch \u00f6ffentliche Bekanntmachung auf das Widerspruchsrecht hinzuweisen. Im \u00dcbrigen gilt \u00a7 35 Abs. 6 Satz 2 entsprechend.\r\n<\/pre>\n
Ein Widerspruch gegen die Weitergabe der Daten ist durch das Ausf\u00fcllen eines Formulars m\u00f6glich. F\u00fcr D\u00fcsseldorf findet sich dieses hier: https:\/\/formulare.duesseldorf.de\/forms\/frm\/7PRPfAZH5gQA8Ja8AkNGaH1rNpDcHR3<\/A> Dieses kann kostenlos in B\u00fcrger\u00e4mtern abgegeben werden. Danach ist kein Onlinezugriff auf die eigenen Daten mehr m\u00f6glich. Anscheinend werden die Datenzugriffe regional von den jeweiligen St\u00e4dten und Kreisen organisiert.<\/p>\n
Auf meine Nachfrage bei der (sehr freundlichen) Sachbearbeiterin im B\u00fcrgerb\u00fcro hin, konnte
\nman mir leider nicht die URL des Abfrageportals mitteilen. Eine kurze Recherche hat mich dann aber schnell auf diese Seite der Stadt D\u00fcsseldorf gef\u00fchrt:<\/p>\n
https:\/\/www.duesseldorf.de\/emra\/emra.jsp?stadt=D%FCsseldorf&art=Stadt<\/A><\/p>\n
Das Portal machte technisch gelinde gesagt einen sehr zweifelhaften Eindruck.
\nZun\u00e4chst einmal scheint es keinerlei Captcha oder \u00e4hnliches zu geben. Eine Massenabfrage scheint also mit entsprechenden Skripten m\u00f6glich zu sein.<\/p>\n
Au\u00dferdem verabschiedete sich die Webapplikation bei meiner Testabfrage mit folgender Tomcat Fehlermeldung, da ich keine Cookies aktiviert hatte:<\/p>\n
\"\"<\/a><\/p>\n
Dies lies mich dann doch zunehmend an der Professionalit\u00e4t einer Anwendung zweifeln, die Zugriff auf die Daten aller B\u00fcrger der Stadt bietet. Ein Skript sollte nicht abst\u00fcrzen, wenn Voraussetzungen am Rechner des Benutzers nicht gegeben sind (in diesem Fall mein fehlender Cookie). Skript-Fehlermeldungen von Webservern, die sich im produktiven Einsatz befinden nicht zu deaktivieren ist fahrl\u00e4ssig<\/A>, da sie viel \u00fcber die verwendete Systemumgebung verraten k\u00f6nnen. Zumal man bei jsp (wie im Screenshot oben) je nach Konfiguration des Servers auch noch Kommentare des Programmierers und Quelltextschnippsel dazu bekommt. Hier wurde geschlampt. An einer Schnittstelle zu pers\u00f6nlichen Daten sollte das nicht passieren.<\/p>\n
Aufhorchen lie\u00df mich auch die benutze Tomcat Version, welche in der Fehlermeldung auch unten auftaucht. (Apache Tomcat\/6.0.24) Dies ist eine \u00e4ltere Version des Webservers vom 21.01.2010. Aktuell ist die Version 6.0.33. Der Melderegister-Server wurde 4 Versionen lang nicht aktualisiert. Schaut man sich die Sicherheitsl\u00fccken an, die in diesen letzten Versionen behoben wurden, wird es langsam ungem\u00fctlich. Der Server befindet sich offensichtlich nicht im bestm\u00f6glichen Zustand:<\/p>\n
\r\nhttp:\/\/tomcat.apache.org\/security-6.html<\/A>\r\n\r\nFixed in Apache Tomcat 6.0.33\treleased 18 Aug 2011\r\n\r\n    Moderate: Multiple weaknesses in HTTP DIGEST authentication CVE-2011-1184\r\n\r\n    The implementation of HTTP DIGEST authentication was discovered to have several weaknesses:\r\n\r\n        replay attacks were permitted\r\n        server nonces were not checked\r\n        client nonce counts were not checked\r\n        qop values were not checked\r\n        realm values were not checked\r\n        the server secret was hard-coded to a known string\r\n\r\n    The result of these weaknesses is that DIGEST authentication was only as secure as BASIC authentication.\r\n\r\n    This was fixed in revision 1158180.\r\n\r\n    This was identified by the Tomcat security team on 16 March 2011 and made public on 26 September 2011.\r\n\r\n    Affects: 6.0.0-6.0.32\r\n\r\n    Low: Information disclosure CVE-2011-2204\r\n\r\n    When using the MemoryUserDatabase (based on tomcat-users.xml) and creating users via JMX, an exception during the user creation process may trigger an error message in the JMX client that includes the user's password. This error message is also written to the Tomcat logs. User passwords are visible to administrators with JMX access and\/or administrators with read access to the tomcat-users.xml file. Users that do not have these permissions but are able to read log files may be able to discover a user's password.\r\n\r\n    This was fixed in revision 1140071.\r\n\r\n    This was identified by Polina Genova on 14 June 2011 and made public on 27 June 2011.\r\n\r\n    Affects: 6.0.0-6.0.32\r\n\r\n    Low: Information disclosure CVE-2011-2526\r\n\r\n    Tomcat provides support for sendfile with the HTTP NIO and HTTP APR connectors. sendfile is used automatically for content served via the DefaultServlet and deployed web applications may use it directly via setting request attributes. These request attributes were not validated. When running under a security manager, this lack of validation allowed a malicious web application to do one or more of the following that would normally be prevented by a security manager:\r\n\r\n        return files to users that the security manager should make inaccessible\r\n        terminate (via a crash) the JVM\r\n\r\n    Additionally, these vulnerabilities only occur when all of the following are true:\r\n\r\n        untrusted web applications are being used\r\n        the SecurityManager is used to limit the untrusted web applications\r\n        the HTTP NIO or HTTP APR connector is used\r\n        sendfile is enabled for the connector (this is the default)\r\n\r\n    This was fixed in revision 1146703.\r\n\r\n    This was identified by the Tomcat security team on 7 July 2011 and made public on 13 July 2011.\r\n\r\n    Affects: 6.0.0-6.0.32\r\n\r\n    Important: Information disclosure CVE-2011-2729\r\n\r\n    Due to a bug in the capabilities code, jsvc (the service wrapper for Linux that is part of the Commons Daemon project) does not drop capabilities allowing the application to access files and directories owned by superuser. This vulnerability only occurs when all of the following are true:\r\n\r\n        Tomcat is running on a Linux operating system\r\n        jsvc was compiled with libcap\r\n        -user parameter is used\r\n\r\n    Affected Tomcat versions shipped with source files for jsvc that included this vulnerability.\r\n\r\n    This was fixed in revision 1153824.\r\n\r\n    This was identified by Wilfried Weissmann on 20 July 2011 and made public on 12 August 2011.\r\n\r\n    Affects: 6.0.30-6.0.32\r\n\r\n\r\nFixed in Apache Tomcat 6.0.32\treleased 03 Feb 2011\r\n\r\n    Note: The issue below was fixed in Apache Tomcat 6.0.31 but the release vote for the 6.0.31 release candidate did not pass. Therefore, although users must download 6.0.32 to obtain a version that includes a fix for this issue, version 6.0.31 is not included in the list of affected versions.\r\n\r\n    Important: Remote Denial Of Service CVE-2011-0534\r\n\r\n    The NIO connector expands its buffer endlessly during request line processing. That behaviour can be used for a denial of service attack using a carefully crafted request.\r\n\r\n    This was fixed in revision 1066313.\r\n\r\n    This was identified by the Tomcat security team on 27 Jan 2011 and made public on 5 Feb 2011.\r\n\r\n    Affects: 6.0.0-6.0.30\r\n\r\n\r\nFixed in Apache Tomcat 6.0.30\treleased 13 Jan 2011\r\n\r\n    Low: Cross-site scripting CVE-2011-0013\r\n\r\n    The HTML Manager interface displayed web application provided data, such as display names, without filtering. A malicious web application could trigger script execution by an administrative user when viewing the manager pages.\r\n\r\n    This was fixed in revision 1057270.\r\n\r\n    This was identified by the Tomcat security team on 12 Nov 2010 and made public on 5 Feb 2011.\r\n\r\n    Affects: 6.0.0-6.0.29\r\n\r\n    Moderate: Cross-site scripting CVE-2010-4172\r\n\r\n    The Manager application used the user provided parameters sort and orderBy directly without filtering thereby permitting cross-site scripting.\r\n\r\n    This was fixed in revision 1037779.\r\n\r\n    This was first reported to the Tomcat security team on 15 Nov 2010 and made public on 22 Nov 2010.\r\n\r\n    Affects: 6.0.12-6.0.29\r\n\r\n    Low: SecurityManager file permission bypass CVE-2010-3718\r\n\r\n    When running under a SecurityManager, access to the file system is limited but web applications are granted read\/write permissions to the work directory. This directory is used for a variety of temporary files such as the intermediate files generated when compiling JSPs to Servlets. The location of the work directory is specified by a ServletContect attribute that is meant to be read-only to web applications. However, due to a coding error, the read-only setting was not applied. Therefore, a malicious web application may modify the attribute before Tomcat applies the file permissions. This can be used to grant read\/write permissions to any area on the file system which a malicious web application may then take advantage of. This vulnerability is only applicable when hosting web applications from untrusted sources such as shared hosting environments.\r\n\r\n    This was fixed in revision 1022560.\r\n\r\n    This was discovered by the Tomcat security team on 12 Oct 2010 and made public on 5 Feb 2011.\r\n\r\n    Affects: 6.0.0-6.0.29\r\n\r\n\r\nFixed in Apache Tomcat 6.0.28\treleased 9 Jul 2010\r\n\r\n    Important: Remote Denial Of Service and Information Disclosure Vulnerability CVE-2010-2227\r\n\r\n    Several flaws in the handling of the 'Transfer-Encoding' header were found that prevented the recycling of a buffer. A remote attacker could trigger this flaw which would cause subsequent requests to fail and\/or information to leak between requests. This flaw is mitigated if Tomcat is behind a reverse proxy (such as Apache httpd 2.2) as the proxy should reject the invalid transfer encoding header.\r\n\r\n    This was fixed in revision 958977.\r\n\r\n    This was first reported to the Tomcat security team on 14 Jun 2010 and made public on 9 Jul 2010.\r\n\r\n    Affects: 6.0.0-6.0.27\r\n\r\n    Note: The issue below was fixed in Apache Tomcat 6.0.27 but the release vote for the 6.0.27 release candidate did not pass. Therefore, although users must download 6.0.28 to obtain a version that includes a fix for this issue, version 6.0.27 is not included in the list of affected versions.\r\n\r\n    Low: Information disclosure in authentication headers CVE-2010-1157\r\n\r\n    The WWW-Authenticate HTTP header for BASIC and DIGEST authentication includes a realm name. If a  element is specified for the application in web.xml it will be used. However, a  is not specified then Tomcat will generate realm name using the code snippet request.getServerName() + \":\" + request.getServerPort(). In some circumstances this can expose the local host name or IP address of the machine running Tomcat.\r\n\r\n    This was fixed in revision 936540.\r\n\r\n    This was first reported to the Tomcat security team on 31 Dec 2009 and made public on 21 Apr 2010.\r\n\r\n    Affects: 6.0.0-6.0.26\r\n\r\n<\/pre>\n
Das alles wirkt sehr unsicher und steht f\u00fcr mich exemplarisch f\u00fcr den gelebten Datenschutzwillen des Staates. Die Daten werden verkauft und es ist kaum jemandem bekannt. Die technische Umsetzung l\u00e4sst sehr zu W\u00fcnschen \u00fcbrig und l\u00e4uft \u00fcber technische Systeme, die bekannterma\u00dfen fehlerhaft sind und dringend aktualisiert werden m\u00fcssten. Auch scheint eine Endkontrolle und qualifizierte Abnahme bei IT-Projekten (die bekannterma\u00dfen f\u00fcr den Staat meistens recht teuer sind) nicht immer stattzufinden. <\/p>\n
Als einzigen Pluspunkt kann ich vermerken, dass es kein zentrales bundesweites Portal mit Online-Fernabfrage f\u00fcr alle Meldedaten zu geben scheint. Dann w\u00e4ren wir sicherlich nicht mehr weit entfernt von dem, was den Israelis vor Kurzem geschehen ist<\/a>.<\/p>\n
Ich bin froh, dass ich mich ausgetragen habe, aber ob jemand mit etwas krimineller Energie und technischem Verst\u00e4ndnis nicht trotzdem (kostenlos) an meine Daten (und alle anderen) kommen k\u00f6nnte, halte ich zumindest f\u00fcr fragw\u00fcrdig. Auf den ersten Blick wirkt das D\u00fcsseldorfer System nicht abgeh\u00e4rtet gegen Angriffe.<\/p>\n","protected":false},"excerpt":{"rendered":"
Mir war nicht ganz klar, welche pers\u00f6nlichen Daten das Einwohnermeldeamt an wen weitergeben darf. Ich bin nach etwas Recherche auf diese Aktion der PIRATEN gesto\u00dfen, die dazu auffordern, der Weitergabe der eigenen Daten bei den Melde\u00e4mtern zu widersprechen. Viele Melde\u00e4mter geben die Daten n\u00e4mlich inzwischen jedem! der zahlt. Dem kann man nur durch einen Widerspruch […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[142],"class_list":["post-967","post","type-post","status-publish","format-standard","hentry","category-diesunddas","tag-melderegister-auskunft-widerspruch-sicherheit-dusseldorf"],"_links":{"self":[{"href":"https:\/\/www.daniel-ritter.de\/blog\/wp-json\/wp\/v2\/posts\/967","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.daniel-ritter.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.daniel-ritter.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.daniel-ritter.de\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.daniel-ritter.de\/blog\/wp-json\/wp\/v2\/comments?post=967"}],"version-history":[{"count":44,"href":"https:\/\/www.daniel-ritter.de\/blog\/wp-json\/wp\/v2\/posts\/967\/revisions"}],"predecessor-version":[{"id":1012,"href":"https:\/\/www.daniel-ritter.de\/blog\/wp-json\/wp\/v2\/posts\/967\/revisions\/1012"}],"wp:attachment":[{"href":"https:\/\/www.daniel-ritter.de\/blog\/wp-json\/wp\/v2\/media?parent=967"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.daniel-ritter.de\/blog\/wp-json\/wp\/v2\/categories?post=967"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.daniel-ritter.de\/blog\/wp-json\/wp\/v2\/tags?post=967"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}