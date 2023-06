Die AfD hat mit einem Datenleck zu kämpfen IMAGO/Karina Hessland

Der rechtsextremen Alternative für Deutschland (AfD) ist eine schwere Datenpanne unterlaufen: Sie hat die Anträge zur Aufnahme in die Partei versehentlich frei zugänglich online gestellt. Wie die IT-Sicherheitsexpertin Ornella Al-Lami auf Twitter erklärte, waren die Anträge frei über ein Webverzeichnis einsehbar. In dem Verzeichnis lagen Mitgliedsanträge vom 23. Juni 2023, in denen Klarnamen, Adressen, Geburtsdaten und Bankverbindungen von AfD-Neumitgliedern standen, wie T-Online berichtet.

Offen einsehbares Verzeichnis

Einige der Anträge verschwanden im Lauf des Tages aus dem Verzeichnis, während andere hinzukamen. Das legt den Verdacht nahe, dass das Verzeichnis als Zwischenablage für die Anträge diente, während sie bearbeitet wurden. Die IT-Sicherheitsexpertin mit dem Pseudonym "N3ll4" musste dafür aber nicht allzu tief in die Hacking-Trickkiste greifen: Sie fand eine frei abrufbare Adresse, unter der die Neuanträge abgespeichert waren. Sie stieß auf das Verzeichnis, als sie nachschaute, welche Unteradressen es zur der Hauptseite afd.de gibt und welche Pfade dort existieren. Ein Standardvorgehen, bei dem sie ungeschützte Unterseiten des Webauftritts der AfD. Dabei stieß sie auf eine Seite, in der die Mitgliedsanträge als PDF-Dateien abgelegt waren.

Die Hacktivistin schaltete die Berliner Datenschutzbeauftragte ein, wies mit ihrem Tweet aber auch die AfD auf das öffentlich einsehbare Verzeichnis hin. Damit hatte die Partei selbst die Möglichkeit das Datenleck zu stopfen. Abrufbar waren unter anderem Klarnamen, Adressen, Geburtsdaten und Bankverbindungen von AfD-Neumitgliedern.

Al-Lami hat in einem weiteren Tweet auch auf Schwachstellen in der Cloud der AfD hingewiesen. Kritisiert wurde die Hacktivistin, dass sie der Partei mit ihren Hinweisen helfe. Sie konterte, indem nun alle wüssten, wie sorglos die AfD mit persönlichen Daten umgehe. Die "theoretische Zugriffsmöglichkeit" sei unmittelbar nach Bekanntwerden geschlossen worden – das war allerdings vier Stunden nach dem Tweet, heißt es bei "T-Online". Aktuell wird ermittelt, ob es zu einem Verstoß gegen die Datentschutzgrundverordnung gekommen ist. Ein AfD-Sprecher rechtfertigte das Vorgehen seiner Partei, da es "im Höchstfall" zu einer Zugriffsmöglichkeit auf 15 Mitgliedsanträge gekommen sei.

Ornella Al-Lami wurde bekannt, als sie im Fall der bedrohten Ärztin Lisa-Maria Kellermayr einen der vermeintlichen Täter ausmachen konnte und damit die oberösterreichische Polizei düpierte, die darauf beharrte, dass ihr Ermittlungen im "Darknet" verboten seien. (red, 25.6.2023)