Datenleck beim DAeC Landesverband NRW

Kurzversion (für Eilige)

Ich habe im Jahr 2008 tausende schwere Sicherheitslücken in der CAMO des Landesverbandes NRW gefunden (produziert von AIR Software UG). Doch der Landesverband möchte diesen Skandal offenbar vertuschen, und verlangt von mir Schweigen. Das ist keine Lösung!

Aktueller Stand 22.5.2015

Der Landesverband hat die Zusammenarbeit mit mir gekündigt, deswegen ist diese Webseite wieder online.

Angeblich holt Air Software derzeit Angebote für einen Audit ein. Unabhängig ist der Auditor auf diese Weise jedenfalls nicht!

22.5.2015: AIR Software behauptet mal wieder, daß alle Lücken sofort nach Bekanntwerden geschlossen wurden - das ist immer noch gelogen!

Inhalt

Die Geschichte

Entdeckung

Am 9. März 2008 habe ich eine Fluglehrerfortbildung besucht. Während eines Vortrags von Ulf Calsbach über die damals neue CAMO habe ich die Webseite auf meinem Notebook aufgerufen und auf Anhieb diverse schwere Sicherheitslücken gefunden. Ich konnte die gesamte Datenbank des Landesverbandes herunterladen und war in der Lage, alle Daten nach Belieben zu manipulieren.

Die Datenbank bestand aus ca. 250.000 Datensätzen, und enthielt unter anderem Personendaten aller Mitglieder und ehemaligen Mitglieder, alle Passwörter im Klartext, überwachte Flugzeuge und deren Zustände / Betriebsstunden.

Ich habe sofort beide anwesenden Vertreter des Landesverbandes darauf angesprochen (Ulf Calsbach und Hubertus Huttel), die beide entsetzt schienen.

Versuch einer konstruktiven Lösung

Kurz später kam ich in Kontakt zu Wilfried Zingel, dem Entwickler der Software. Seine Meinung zur IT-Sicherheit: das machen wir später, dafür ist jetzt keine Zeit!

Meine Bemühungen, das Problem konstruktiv zu lösen, schienen trotzdem erfolgreich: ich arbeitete acht Wochen eng mit ihm zusammen, telefonierte jeden Tag mindestens eine Stunde mit ihm, tauschte viele Emails aus. Ich half dabei, den Server abzusichern. Ich versuchte, ihn auf grundlegende Stolperfallen beim Programmieren aufmerksam zu machen. Acht Wochen, in denen fast meine gesamte Freizeit dafür draufging.

Die Einsicht hörte allerdings nach knapp acht Wochen (ohne Fortschritte bei seiner Software) auf. Ich kritisierte, daß sein Ansatz, eine Art von Problem zu beheben das Problem eben nicht löst. Er blaffte “Idiot!” ins Telefon und wir legten auf.

Scheitern der konstruktiven Lösung

Ich stellte meinen Bericht fertig und schickte ihn an den Landesverband. Kurz darauf schrieb mich der damalige Geschäftsführer, Gerhard Rademacher an, und lud mich zu einer Besprechung nach Duisburg ein. Voller frischem Optimismus sagte ich zu.

Am 26. Mai 2008 traf ich mich mit Gerhard Rademacher und Dr. Ulrich Wünsche in Duisburg. Ich präsentierte meine Funde (immerhin über 16.000 Sicherheitslöcher). Ich bot dem Landesverband an, daß ich mit einem weiteren Freiwilligen eine neue, sichere Software entwickle - ehrenamtlich natürlich. Eine lauffähige Demo davon hatte ich bereits im Gepäck.

Irgendwann unterbrach mich Gerhard Rademacher: “Weißt du eigentlich, was das größte Problem in dieser Angelegenheit ist?”

Ich stutzte.

Gerhard Rademacher: “Du!” Er erläuterte, daß ich das CAMO-Projekt gefährde, und deswegen auf gar keinen Fall irgendwem davon erzählen darf.

Die beiden hielten mir eine Verschwiegenheitserklärung unter die Nase, und verlangten von mir die Unterschrift.

Selbstverständlich weigerte ich mich, zu unterschreiben. Gerhard Rademacher setzte mir eine Frist, und drohte mir, das sonst an den Anwalt zu geben.

Perplex verließ ich die Geschäftsstelle. Was war hier passiert? Verdrehung der Tatsachen? Falscher Film?

Ich holte Rat bei ein paar Leuten, und entschied mich endgültig, nicht zu unterschreiben.

Neuauflage

Sieben Jahre lang ließ ich den Landesverband mit dem Problem alleine, im Vertrauen, daß ich genug Informationen geliefert hatte, damit hinter den Kulissen alle Probleme behoben werden können.

Durch die Zwangseinführung des neuen Moduls “ATO-Management” für alle Fluglehrer wurde ich wieder auf AIR Software aufmerksam.

Zeit für einen Rückblick, und Zeit für Transparenz. Das ist der Landesverband als gemeinnütziger Verein seinen Mitgliedern schuldig. Denn der Landesverband ist kein Selbstzweckverein, sondern existiert nur für seine Mitglieder. Transparenz schafft außerdem Vertrauen – zumindest mein stark erschüttertes Vertrauen könnte er so wiedergewinnen.

Am 17. Februar 2015 fragte ich also beim Landesverband an, ob etwas gegen eine Veröffentlichung meines Berichts spricht.

Weitere Vertuschung und Ignoranz

Antwort bekam ich zwei Tage später vom Justiziar Dr. Stephan Osnabrügge im Namen des Präsidiums.

Der bestritt, daß es Sicherheitslücken gibt, und bestritt auch, daß es jemals welche gab. (Schon wieder falscher Film? Wie kann man etwas abstreiten, was bereits unstrittig demonstriert und bewiesen wurde?) Mit der Veröffentlichung war der Landesverband dementsprechend auch nicht einverstanden.

Zum einen, so behauptete er, habe der Landesverband die alleinigen Verwertungsrechte an meinem Bericht (so ein Unfug). Andererseits sei man dagegen, weil es die Vereine verunsichern könnte. Das würde einen “erheblichen Schaden anrichten”. Außerdem könne er sich nicht vorstellen, daß ich ein “berechtigtes Interesse” an der Veröffentlichung habe.

Das zeigt deutlich, daß der Landesverband sich nicht mit dem Thema auseinanderzusetzen möchte, sondern es lieber totschweigen möchte. Nicht nur verweigert man sich der Transparenz (was mich viel mehr verunsichert als mal einen Fehler zuzugeben), sondern streitet alles ab, und versucht mich mit juristischen Bluffs zu bremsen.

Angesichts der Beweise, die ich geliefert habe, ist es ein Hohn, jetzt zu behaupten, daß all das nie geschehen ist.

Die logische Schlußfolgerung daraus kann nur sein: weder der Landesverband noch AIR Software haben je eine Sicherheitslücke behoben. Daraus wiederum folgt, daß alle von mir gefundenen Sicherheitslücken immer noch existieren.

(Update: mittlerweile wurde bestätigt, daß wirklich noch Sicherheitslücken bestehen)

Frist

Nachdem mir niemand mehr auf meine Einwände antwortete, hatte ich die Nase voll - alle meine Versuche, das Problem konstruktiv (durch Mitarbeit oder Kritik) zu lösen, waren gescheitert. Also setzte ich dem Präsidium eine Frist:

Deswegen gebe ich euch noch eine letzte Chance, und zwar bis kommenden Mittwoch [25.2.2015] um 24 Uhr. Das sind zwei weitere Tage Zeit, nachdem in 7 Jahren nichts passiert ist. Bis dahin moechte ich ueberzeugt werden, dass das Problem ernst genommen wird und dass etwas sinnvolles unternommen wird.

Keine Reaktion (bis auf die Antworten zweier Bezirksvorsitzender, die genauso entsetzt waren wie ich). Nun ist sie also hier, die Enthüllung.

Es ist sicherlich nicht meine Absicht, dem Landesverband zu schaden, aber noch weniger möchte ich, daß seine Mitglieder zu Schaden kommen - der Landesverband existiert ja nicht aus Selbstzweck. Da offenbar keine Sicherheitslücken behoben wurden, finde ich eine Debatte über das Thema sehr wichtig. Der Landesverband möchte das Thema totschweigen, daher muß die Debatte von außen angestoßen werden - hiermit. Das öffentliches Interesse (der Mitglieder, die durch das Verhalten des Landesverbandes zu Schaden gekommen sind) überwiegt dabei den (sehr fragwürdigen) Geheimhaltungsinteressen des Landesverbandes.

Fortsetzung 26.2.2015 11:22: Drohung vom Justiziar

Herr Dr. Osnabrügge hat mir kurz nach dieser Veröffentlichung geschrieben:

Ich erachte Ihre Fristsetzung als Versuch, den Landesverband zu erpressen, denn offensichtlich verbinden Sie mit Ihrem Vorgehen finanzielle Interessen.

Erpressung? Wegen finanzieller Interessen? Hat der gute Mann nicht mitbekommen, dass ich die ganze Arbeit ehrenamtlich gemacht habe? Wer mich kennt, weiß, dass ich verdammt viel Zeit in ehrenamtliche Tätigkeiten stecke, und auch Spendenangebote (z.B. für XCSoar) immer wieder zurückweise. Also von welchen finanziellen Interessen halluziniert der Mann?

Bitte werden Sie sich bewusst, dass ein solches Vorgehen strafrechtliche und zivilrechtliche Folgen haben kann. Die an Dritte gerichtete Behauptung, die vom Landesverband genutzte Software weise heute konkrete Sicherheitslücken auf, stellt eine falsche Tatsachenbehauptung dar, die der Landesverband mit allen rechtlich zur Verfügung stehenden Mitteln unterbinden wird.

Interessant wäre ganz bestimmt, diese “Tatsachenbehauptung” (die hier nebenbei gar nicht steht) gerichtlich klären zu lassen. Ich glaube kaum, daß der Landesverband vor Gericht ziehen möchte, nur damit der Gutachter dann doch Sicherheitslücken findet. Denn genau das möchte der Landesverband ja verhindern: er möchte eben keine Klarheit darüber, ob es Sicherheitslücken gibt. Er möchte einfach nur, daß wir aufhören, davon zu wissen.

Fortsetzung 26.2.2015 21:00: Vier Bestätigungen

Ich habe von vier Fliegerkameraden die Bestätigung erhalten, daß mehrere der Sicherheitslücken von 2008 noch bestehen. Ich habe dazu Screenshots und Logs erhalten.

Damit ist bewiesen, daß die “falschen Tatsachenbehauptungen” vom Landesverband ausgehen und nicht von mir. Natürlich wird es keinen Prozess geben, denn das war (wie erwartet) wieder nur ein billiger Bluff von Herrn Dr. Osnabrügge.

Fortsetzung 26.2.2015 19:00: Stellungnahme

Der Landesverband hat eine Stellungnahme auf seiner Webseite veröffentlicht..

Nichts neues - all das hat Herr Osnabrügge mir bereits geschrieben. Und es ist immer noch falsch. Der Landesverband setzt seine Vogel-Strauß-Politik fort.

ein von diesem Herrn im Jahre 2008 eigeninitiativ durchgeführtes Sicherheitsaudit

Das ist falsch. Ulf Calsbach hat mich beauftragt, und mir dafür sogar Bezahlung angeboten, was ich nicht angenommen habe (an Ulf: deine Email ist vom 13.3.2008 23:51:36 MEZ).

Nach aktuellem Stand besteht zum heutigen Tag kein Sicherheitsleck

Das ist schonmal gelogen. Es gibt immer noch Sicherheitslücken, die ich bereits 2008 bemängelt hatte. Das ist dem Landesverband und AIR Software seit 2008 bekannt.

Wir nehmen auch heute jeden Hinweis auf einen möglichen Sicherheitsmangel, entgegen anderslautende Bekundungen, durchaus sehr ernst

Auch gelogen. Meine Hinweise wurden nicht ernst genommen, sondern schlicht ignoriert.

Ernst genommen hat der Landesverband lediglich die Gefahr einer Veröffentlichung. Deswegen hat er seinen Justiziar mit Drohungen auf mich gehetzt.

Wir sind aber nicht bereit, uns mit Menschen zu beschäftigen, denen es ganz sicher um eines nicht geht: die Sicherheit der Daten unserer Vereine.

… sondern?

Der Landesverband verabschiedet sich spätestens hier von der sachlichen Ebene und wechselt zur persönlichen Ebene.

Es mag sich jeder selbst ein Bild von der Lauterkeit der Angelegenheit machen und sich die Frage beantworten: ‘Was ist hier wirklich beabsichtigt’?

Schade, daß der Landesverband an dieser Stelle nicht auf mich verlinkt, denn so können sich Leser der Stellungnahme nur ein einseitiges Bild machen.

Allerdings ist die Frage nach meiner Absicht ein offensichtliches Ablenkungsmanöver. Der Landesverband möchte von seinem Schlamassel ablenken, und versucht es weiter auf der persönlichen Ebene.

Verbandsbashing ist zur Zeit recht beliebt.

Ja, darüber solltet ihr als demokratischer Verein vielleicht mal nachdenken.

Eine schlechte Art, mit Kritik umzugehen: sie als (neudeutsch) “Bashing” zu diffamieren, statt sich damit inhaltlich auseinanderzusetzen.

Die Sicherheit Ihrer Daten liegt uns sehr am Herzen und wir werden auch weiterhin mit jedem im Gespräch bleiben, dem dies ebenfalls ein seriöses Anliegen ist.

Mir ist das ein seriöses Anliegen, aber weil ich anderer Meinung bin, hetzt der Landesverband mir den Anwalt auf den Hals, statt mit mir ein “seriöses” Gespräch zu führen.

Und das Interesse des Landesverbandes an der Sicherheit der Mitgliederdaten messe ich an der Bereitschaft zu einem unabhängigen Audit, nämlich Null komma Null:

… sieht der Verband weder Veranlassung dazu, ein Sicherheitsaudit durchzuführen noch dazu, auf irgendwelche Ihrer Forderungen einzugehen.

Fortsetzung 27.2.2015: Gesprächsbereitschaft

Ein Vertreter des Landesverbandes hat über einen Vermittler Gesprächsbereitschaft signalisiert. Das ist ein gutes Zeichen! Ich habe diese Seite erstmal offline genommen. Damit ist das Problem nicht sofort weg, sondern wird erstmal in kleinerem Kreis verhandelt (so, wie ich es eigentlich wollte). Ich bleibe am Ball, und ich werde von den Ergebnissen berichten, wenn es so weit ist.

Update 17:30: Am Montag abend werde ich mich mit zwei Vertretern des Landesverbandes treffen.

Fortsetzung 3.3.2015: Nach dem Treffen

Ergebnis des Treffens mit Stefan Klett und Hermann-J. Hante gestern abend: der Landesverband wird die Firma AIR Software auffordern, einen unabhängigen Security-Audit durchführen zu lassen. Alle so dokumentierten Sicherheitslücken sollen dann von AIR Software geschlossen werden.

Das entspricht meiner wichtigsten Forderung. Deswegen bin ich für den Anfang zufrieden.

Hier die Stellungnahme des Landesverbandes, die ich unterstütze.

Fortsetzung 13.4.2015: Entlassung als Segelfluglehrer

Der Landesverband NRW hat mich als Segelfluglehrer entlassen, weil ich einer Speicherung meines Segelflugscheins und Medicals auf dem Internet-Server von AIR Software nicht zugestimmt habe. Mehr Informationen gibt es hier..

Fortsetzung 25.4.2015: Ende der Zusammenarbeit

Am 20.4.2015 hat Hermann-J. Hante (hauptamtlicher Geschäftsführer des Landesverbandes NRW) per Email unsere Vereinbarung gekündigt, nach der ich vorläufig Stillschweigen über die Angelegenheit bewahre, um Air Software zur Behebung der Fehler Zeit zu gewähren. Diese Email hielt ich für einen unklugen Schnellschuß. Deswegen habe ich 5 Tage abgewartet, ob das revidiert wird - nichts geschah. Also ist diese Webseite wieder online.

Vermutlich wird der Landesverband mir jetzt wieder mit einer Klage drohen.

Fortsetzung 22.5.2015: Rundschreiben

Der Landesverband NRW schickte am 12.5. ein Rundschreiben an alle Mitgliedsvereine:

[…] haben sich einige “Fliegerkameraden”aufgemacht das berühmte “Haar in der Suppe” zu finden. Statt sich in das Gemeinschaftsprojekt […] einzubinden wurde öffentlich dargestellt, wie vorgeblich unverantwortlich der Landesverband mit seinen Mitgliedern umgeht und eine Anleitung veröffentlicht, wie man das ATO-System “hacken” kann.

Der Landesverband NRW demonstriert hier wieder seine Lernunwilligkeit, und lügt sich abermals in die Tasche.

Ich hatte vor 7 Jahren ehrenamtlich einen Audit durchgeführt. Ich hatte angeboten, ehrenamtlich alle Sicherheitslücken zu beheben oder sogar eine ganz neue Software zu entwickeln. Dafür habe ich vom Landesverband NRW einen Arschtritt bekommen (entschuldigt die Wortwahl, so war’s aber). Und jetzt bekomme ich einen weiteren Tritt: der Landesverband behauptet, ich hätte mich geweigert, mich in das Gemeinschaftsprojekt einzubinden. Was für eine dreiste Lüge!

Zum Stichwort Gemeinschaftsprojekt sollte man vielleicht wissen, dass sich Air Software die Taschen mit unseren Mitgliedsbeiträgen füllt. Meine konstruktiv formulierte und sachlich begründete Kritik galt damals Air Software, nicht dem Landesverband.

Ein erfolgreicher Angriff auf unsere Daten von Außen hat nicht stattgefunden!

Das ist eine steile Behauptung. Das weiß niemand, auch nicht der Landesverband NRW (der gar keine technische Fachkompetenz zu so einer Beurteilung besitzt) noch Air Software (die auch nicht für technische Fachkompetenz berühmt sind). Selbst mit ausreichender Kompetenz wäre es schwierig bis unmöglich, einen erfolgreichen Angriff zu erkennen.

Worauf basiert also diese Behauptung? Glauben die da selber dran, hoffen sie das, oder ist das nur eine Beruhigungspille für uns Mitglieder?

Ich widerlege dann einfach mal diese Behauptung: ich habe die Server von Air Software im März 2008 erfolgreich angegriffen, und habe eine Kopie der gesamten Datenbank mit mehr als 250.000 Datensätzen heruntergeladen. Das war ein erfolgreicher Angriff von außen.

Selbst nach 7 Jahren hat das niemand bemerkt, denn Air Software hat noch im Februar 2015 abgestritten, daß dieser Angriff stattgefunden hat.

Niemand außer mir weiß, ob ich noch im Besitz der Datenbank bin. Oder ob ich seither noch weitere Kopien der Datenbank gezogen habe, oder ob ich zu irgendeinem Zeitpunkt Daten manipuliert habe. Ich kann das eine oder andere behaupten, aber ob das stimmt, weiß nur ich.

Genau wie man entweder Air Software vertraut und glaubt. Oder nicht.

Die Firma Air-Software hat uns versichert, dass sämtliche Lücken im System sofort nach Bekanntwerden geschlossen wurden.

Air Software hat ja noch am 19. Februar 2015 und nochmal am 26. Februar 2015 behauptet, es gebe keine Sicherheitslücken, es habe nie welche gegeben, und alle meine Behauptungen seien falsch. Diese Lüge hatte kurze Beine, wie mir viele Fliegerkameraden bestätigten.

Sieben Jahre lang ignorierte die Firma stur meine Kritik, unternahm nichts, stellte mich als Lügner dar – und behauptet nun schon wieder, daß alle Lücken “sofort nach Bekanntwerden geschlossen wurden”.

Nein, Air Software, ihr habt nicht alle Lücken “sofort nach Bekanntwerden geschlossen”. Es ist hinlänglich bewiesen, daß das gelogen ist.

Wenn man so viel Mist gebaut hat, gelogen hat daß sich die Balken biegen – dann ist das nicht der richtige Weg, um das Vertrauen wiederzugewinnen.

Auch der Landesverband NRW weiß sehr genau, was passiert ist, und daß diese Aussage von Air Software gelogen ist. Trotzdem publiziert er diese “Versicherung” und macht sie sich damit zu eigen. Damit macht er sich zum Komplizen und verspielt die Chance auf neues Vertrauen.

Es wurde ein externer Mitarbeiter beauftragt, das System fortlaufend und umfassend auf Datenlücken zu untersuchen

Was hier passiert, ist nicht der unabhängige Audit, den ich gefordert habe. Denn der “externe Mitarbeiter” ist alles, aber nicht unabhängig.

Kein Wort davon, daß sein neuer Audit-Bericht veröffentlicht wird. Wer Kunde bei Air Software ist, oder Kunde werden will, sollte diesen Nachweis fordern!

Warum hat ein Mitarbeiter der Bezirksregierung Zugriffsrechte auf diese Daten: Die notwendigen Ausbildungsunterlagen müssen nachprüfbar für die Bezirksregierung vorliegen. Die Mitarbeiter der Bezirksregierung müssen die Ausbildungsstätte regelmässig auditieren.

Die Antwort ist zwar nicht falsch, aber sie beantwortet nicht die (selbst) gestellte Frage. Sie erklärt nicht, warum dieser Zugriff direkt auf der Datenbank stattfinden muß, hinter unserem Rücken. Damit geht der Landesverband NRW nicht auf meine Kritik ein, sondern versucht nur mit warmen (aber irrelevanten) Worten zu beschwichtigen.

Der Bericht

Download meines Original-Berichts von 2008.

Konsequenzen

Kurze Zusammenfassung der Datenlecks:

Das sind nur die Daten aus dem Jahr 2008. Da AIR Software seither unentwegt neue Produkte entwickelt hat (z.B. ATO-Management) wären heute noch viel mehr Daten betroffen.

Alle diese Daten sind nicht nur einsehbar, sondern auch beliebig manipulierbar. Manipulationen sind dabei nicht als solche erkennbar, sondern können spurenlos vorgenommen werden.

Welche Konsequenzen kann das haben?

Ich hoffe, daß nichts davon eintritt. Das verhindern kann man aber nicht durch Geheimhaltung, sondern nur durch Schließen der Sicherheitslücken.

Forderungen

Um das Problem hinter uns zu bringen, sehe ich folgenden Weg:

Dies habe ich vom Landesverband schon gefordert, aber nur Schweigen geerntet.

Update 26.2.2015 um 10:22 Dr. Osnabrügge:

… sieht der Verband weder Veranlassung dazu, ein Sicherheitsaudit durchzuführen noch dazu, auf irgendwelche Ihrer Forderungen einzugehen.

Generell sollte sich der Landesverband aber die Frage gefallen lassen, warum Daten, die er nur intern verwendet, überhaupt in der “Cloud” gespeichert werden und nicht auf einem abgesicherten Computer im internen Netzwerk in Duisburg.

“Datensparsamkeit” ist eine Vokabel, mit der sich der Landesverband ausgiebig befassen sollte. Selbst für eine interne Datenbank stehen dort unzulässig viele Daten. Der Zweck der Speicherung ehemaliger Mitglieder zum Beispiel erschließt sich mir nicht.

Was tun?

Sprecht mit euren Vereinsvorständen über das Thema, mit den Bezirksvorsitzenden, sprecht auch ruhig den Landesverband direkt an (info@aeroclub-nrw.de oder 0203-77844-12).

Stellt “unangenehme” Fragen bei Versammlungen des Landesverbandes.

Denkt daran auch bei der nächsten Wahl.

Überlegt euch, ob es eine gute Idee ist, dem Landesverband immer mehr Daten anzuvertrauen (z.B. ATO-Management).

Ist der Landesverband mit der jetzigen Führung unter Stefan Klett überhaupt vertrauenswürdig?

Hilfe!

Mit dieser Veröffentlichung gehe ich ein juristisches Risiko ein. Vielleicht verklagt mich der Landesverband (vielleicht wegen Urheberrecht an meinem Bericht, vielleicht wegen übler Nachrede, Geschäftsschädigung - oder was auch immer sich Herr Dr. Osnabrügge ausdenken mag). Immerhin kommuniziert der Landesverband mit mir ausschließlich über seinen Justiziar! Ich bin zuversichtlich, daß ich im Recht bin, und mein “Whistleblowing” uns allen langfristig nutzt.

Falls es so kommen sollte, würde ich gerne von euch Hilfe bekommen. Wer mag mir helfen, den Prozess zu finanzieren? Oder vielleicht ist einer von euch Anwalt, und mag seinen Beitrag leisten, indem er mich ehrenamtlich vertritt? Schreibt mir: max@duempel.org