FEHLER!

Datenleck bei Cannabis-Verwaltungssoftware: Großes Sicherheitsrisiko für Cannabis Social Clubs

Seit dem 1. April ist der Konsum, Besitz und Eigenanbau von Cannabis in Deutschland verboten. Ab Juli wird es jedoch in sogenannten Anbauvereinigungen erlaubt sein, Cannabis gemeinschaftlich anzubauen. Seitdem das neue Gesetz bekannt wurde, gibt es ein großes Interesse daran, sich in sogenannten Cannabis Social Clubs (CSCs) zu organisieren. Diese Clubs suchen aktiv nach geeigneten Anbauflächen und Softwarelösungen, um ihre Mitglieder effektiv zu verwalten.

Gemäß dem neuen Cannabis-Gesetz müssen die Clubs umfangreiche Daten ihrer Mitglieder erfassen und dokumentieren. Neben persönlichen Informationen wie Namen, Geburtsdaten und Adressen müssen auch Informationen darüber erfasst werden, wann und in welcher Menge jeder Einzelne Cannabis bezieht. Zusätzlich ist es erforderlich, den THC-Gehalt schriftlich festzuhalten. Die Datensätze müssen für einen Zeitraum von fünf Jahren aufbewahrt werden.

Die Firma ThingBring aus Hameln stellt mit ihrer Software Canguard eine Verwaltungslösung zur Verfügung. Laut Informationen des ARD Politmagazins Kontraste ist es hier zu einem großen Datenleck gekommen. Das Hackerkollektiv Zerforschung hat diese Sicherheitslücke entdeckt und darüber in einem Blogbeitrag auf ihrer Webseite berichtet. Berichten zufolge waren vor Ostern angeblich die persönlichen Daten wie Namen, E-Mail-Adressen, Geburtsdaten, Postleitzahlen und verschlüsselte Passwörter von Canguard-Nutzerkonten für unbefugte Dritte zugänglich. Zudem konnte öffentlich eingesehen werden, ob ein Nutzerkonto Eigentümer oder Mitglied eines Cannabis-Clubs ist. Es wurde sogar behauptet, dass es möglich war, Nutzerkonten und Anbauvereinigungen von Dritten zu bearbeiten und technisch zu übernehmen.

Nach Angaben des Politmagazins informierte Zerforschung das Software-Unternehmen bereits am Mittwoch vor Ostern über die Datenpanne und wies ausführlich auf die Sicherheitslücke hin. Eine Woche später schienen die betroffenen Clubbetreiber immer noch keine Kenntnis von dem Sicherheitsvorfall sowie dem Ausmaß des Datenlecks zu haben.

Das Hackerkollektiv kritisiert in seinem Blogpost, dass die Software noch in einer frühen Entwicklungsphase steckt und bemängelt, dass ein Produkt, das Kundendaten speichert, auch dafür sorgen sollte, dass diese vertraulich behandelt werden.

Gemäß dem Cannabis-Gesetz müssen die Verantwortlichen bei einem Datenleck den Sicherheitsvorfall innerhalb von 72 Stunden dem zuständigen Landesbeauftragten für Datenschutz (LfD) melden. Es ist jedoch noch unklar, ob die ThingBring GmbH selbst das Datenleck hätte melden müssen. Auf der anderen Seite hätten die Clubs selbst eine Meldung beim Landesdatenschutzbeauftragten abgeben müssen. Zumindest hätte ThingBring die Clubbetreiber umgehend informieren müssen. Der niedersächsische Landesbeauftragte für den Datenschutz (LfD) erhielt eine Woche nach dem Hinweis des Hackerkollektivs an den Softwarehersteller noch keine Meldung über den Vorfall, wie das Magazin Kontraste berichtet.

Das Cannabis-Gesetz gewährt staatlichen Behörden einen umfassenden Zugriff auf die gesammelten Daten. Die Clubs sollen regelmäßig von Behörden auf Landesebene überprüft werden. Die überprüfenden Behörden haben die Befugnis, Kopien von Dokumenten und persönlichen Daten für einen Zeitraum von bis zu zwei Jahren zu speichern. Im Falle von Ordnungswidrigkeiten oder Straftaten besteht die Möglichkeit, dass diese Daten auch an Sicherheitsbehörden übermittelt werden.

Schlagwörter: LfD + ThingBring + Canguard

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 6. April 2024