Datenleck in Verwaltungs-Software von Cannabis-Clubs

Seit dem 1. April sind Konsum, Besitz und Eigenanbau teillegalisiert. Ab Juli darf Cannabis auch in sogenannten Anbauvereinigungen gemeinschaftlich gezogen werden. Seit Bekanntwerden des Gesetzesvorhabens ist das Interesse groß, sich in sogenannten Cannabis Social Clubs (CSCs) zu organisieren. Sie suchen nach Anbauflächen und Software-Lösungen, um ihre Mitglieder zu verwalten.

Laut dem neuen Cannabis-Gesetz sind die Clubs verpflichtet, umfassende Daten ihrer Mitglieder zu dokumentieren. Neben Namen, Geburtsdaten und Adressen muss in der Datenbank erfasst werden, wann und wie viel Cannabis jeder Einzelne bezieht. Zudem muss der THC-Gehalt dokumentiert werden. Die Datensätze sollen dann für fünf Jahre gespeichert bleiben.

Eine solche Verwaltungslösung bietet die Firma ThingBring aus Hameln mit der Software "Canguard". Nach Informationen des ARD Politmagazins "Kontraste" soll es hier zu einem umfassenden Datenleck gekommen sein. Aufgedeckt hat die Sicherheitslücke das Hackerkollektiv "Zerforschung", welches darüber in einem Blogbeitrag auf seiner Webseite informiert.

Nutzerdaten für Dritte zugänglich

So sollen in der Zeit vor Ostern die Namen, E-Mail-Adressen, Geburtsdaten, Postleitzahlen und gehashte Passwörter von "Canguard"-Nutzerkonten für Dritte zugänglich gewesen sein. Außerdem war angeblich öffentlich nachvollziehbar, ob ein Nutzerkonto "Besitzer" oder "Mitglied" eines Cannabis-Clubs ist. Darüber hinaus soll es möglich gewesen sein, Nutzerkonten sowie Anbauvereinigungen von Dritten zu bearbeiten und dadurch sogar in technischer Hinsicht zu übernehmen.

Laut Aussage des Politmagazins informierte "Zerforschung" das Software-Unternehmen bereits am Mittwoch vor Ostern über das Datenleck und beschrieb die Sicherheitslücke detailliert. Aber selbst eine Woche nach dem Hinweis von "Zerforschung" an das Unternehmen schienen die betroffenen Clubbetreiber noch nichts über den Sicherheitsvorfall sowie das Ausmaß des Datenlecks zu wissen. In seinem Blogpost schreibt das Hackerkollektiv, die Software stecke "erkennbar noch in den Kinderschuhen", und kritisiert: "Wenn ein Produkt marktreif genug ist, um Kund*innen-Daten zu speichern, muss es auch reif genug sein, diese für sich zu behalten."

Meldepflicht bei Datenlecks

Im Falle eines Datenlecks sind die Verantwortlichen verpflichtet, den Sicherheitsvorfall binnen 72 Stunden bei dem zuständigen Landesbeauftragten für Datenschutz (LfD) zu melden. Noch ungeklärt ist, ob die ThingBring GmbH das Datenleck selbst an den LfD hätte melden müssen.

Andererseits hätten die Clubs selbst Meldung beim jeweiligen LfD machen müssen. Zumindest hätte ThingBring die Clubbetreiber unverzüglich informieren müssen. Beim niedersächsischen LfD war laut "Kontraste" eine Woche nach dem Hinweis des Hackerkollektivs an den Softwarehersteller noch keine Meldung zu dem Vorfall eingegangen.

Das Cannabis-Gesetz räumt staatlichen Behörden weitreichenden Zugriff auf die erfassten Daten ein. Die Clubs sollen durch Landesbehörden regelmäßig kontrolliert werden. Dabei sollen die kontrollierenden Behörden Dokumente in Kopie und persönliche Daten bis zu zwei Jahre speichern dürfen. Im Falle von Ordnungswidrigkeiten oder Straftaten können diese Daten auch an Sicherheitsbehörden weitergegeben werden.

(pen)