Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Webshop Fischerei- und Jagdverwaltung Kanton Zürich (FJV).
Screenshot: https://www.efj.zh.ch/webshop (2. Mai 2018)

Der Webshop der Fischerei- & Jagdverwaltung des Kantons Zürich wird von Fischern, Jägern, Jagdaufseher und Pächtern genutzt. Bild: watson

watson-Leser stösst auf Datenleck beim Kanton Zürich – diese Daten waren betroffen

Im Webshop der Zürcher Fischerei- & Jagdverwaltung waren die Namen der Kunden und ihre Bestellungen während rund drei Wochen frei einsehbar. Der Kanton bestätigt die Datenpanne und versucht zu beschwichtigen.



In einem Webshop des Kantons Zürichs klaffte während rund drei Wochen ein Datenleck: «Ja, es gab ein kleines Datenleck, welches unmittelbar nach Bekanntwerden behoben wurde», sagt Urs Philipp, Abteilungsleiter beim Amt für Landschaft und Natur. Betroffen war der Webshop der Fischerei- & Jagdverwaltung, der – no­men est omen – von Jägern und Fischern genutzt wird.

Die Lücke wurde am Dienstag von einem Nutzer gemeldet und ist inzwischen geschlossen. «Das Problem wurde am 1. Mai erstmals entdeckt. Es sind insgesamt 23 betroffene Nutzer des rapportierten Falles vom 1. Mai bekannt», sagt Philipp. Es sei «eher unwahrscheinlich, aber zumindest theoretisch denkbar, dass noch einige Nutzer mehr betroffen sein könnten». Die Betroffenen wurden bislang nicht informiert, auch auf der Webseite findet sich kein Hinweis zur Datenpanne.

Bei der Fischerei- & Jagdverwaltung kann man derzeit nicht gänzlich ausschliessen, dass die Lücke zuvor nicht schon von anderen entdeckt und ausgenutzt wurde. Potenziell hätte es weit mehr als 23 Nutzer treffen können, da alle Fischer und Jäger im Kanton über diesen Webshop ein Fischereipatent oder einen Jagdpass beziehen können. 

So wurde das Datenleck entdeckt

Wer im Kanton Zürich fischen will, braucht für die meisten Seen und Flüsse ein Patent. Hobby-Fischer können diese Fangerlaubnis im Webshop der Fischerei- & Jagdverwaltung bestellen. Genau dies wollte am 1. Mai auch Hobby-Fischer Ric Daniel tun. Er meldete sich wie gewohnt im Webshop an und staunte nicht schlecht: Statt auf das eigene Profil hatte er Zugriff auf die aktuellen Bestellungen der Jäger und Fischer, die den Webshop nutzen.

«Ich wollte ein Patent online kaufen und konnte Namen, Rechnungsstatus usw. der anderen Shop-Nutzer einsehen», sagt Daniel. Wegen eines Software-Fehlers im Webshop hatte er Zugriff auf die Fischerei- und Jagdverwaltungssoftware, wie der folgende Screenshot zeigt. Die hier zu sehenden Patent-Bestellungen (die Namen wurden von uns geschwärzt) sollten eigentlich nur Angestellte des Kantons mit den entsprechenden Rechten einsehen können.

Bild

Frei einsehbar: Wer hat wann was im Webshop der Fischerei- & Jagdverwaltung bestellt. screenshot: zvg

Er habe kein Passwort geknackt oder irgendetwas gehackt, betont Daniel im Gespräch mit watson. Ein paar Mausklicks hätten gereicht, um in den Administratoren-Modus des Webshops zu gelangen. So waren plötzlich Kundennamen, Bestelldatum, das bestellte Produkt sowie der Rechnungsstatus einsehbar.

Urs Philipp von der Fischerei- & Jagdverwaltung sagt, dass weitere Nutzerdaten wie Geburtsdatum, Postadresse, E-Mail-Adresse, Telefonnummern etc. nicht einsehbar gewesen seien. «Es war nicht möglich irgendwelche weiteren Daten zu sehen, zu verändern oder zu speichern», sagt Philipp.

Daniel vermutet hingegen, dass er noch weit mehr Daten hätte aufrufen können: Etwa Heimatort, Nationalität und weitere Daten, welche die Nutzer bei der Registration angeben müssen. Zum Beispiel der Name der Versicherung, den die Jäger bei der Erstellung des Nutzer-Kontos angeben müssen.

Ausprobiert habe er es nicht, zumal dies auch illegal wäre. Auf seinem Screenshot des Webshops ist zumindest zu sehen, dass ihm nebst dem Webseiten-Reiter «Auftrag» – also die aktuellen Bestellungen – auch die Bereiche «Person», «Revier» und «Dokument» angezeigt wurden. 

Grund für Datenpanne ist bekannt

Webshop Fischerei- und Jagdverwaltung Kanton Zürich (FJV).
Screenshot: https://www.efj.zh.ch/webshop (2. Mai 2018)

Für den Datenzugriff musste der Hobby-Fischer auf einen kleinen runden Button am unteren Seitenrand klicken. Über diesen Link erhielt er offenbar Administrator-Rechte. Bild: watson

Wegen eines Fehlers im Webshop konnte man als normaler Nutzer in den Administrator-Modus gelangen. «Gemäss unseren Recherchen hat das Problem seit dem letzten Software-Release bestanden, also seit zirka drei Wochen», sagt Philipp. Der Webshop wurde von einer externen Firma entwickelt.

Die Fischerei- & Jagdverwaltung erklärt die Datenlücke wie folgt:

«Das Problem trat auf, weil ein ‹normaler› Benutzer im Webshop den Regelsteuerelemente-Admin-Modus aktivieren konnte und dann ins eFJ (Hauptanwendung) gewechselt hat, ohne den Browser zu schliessen. In diesem Fall hat er einige Daten gesehen, für welche er eigentlich keine Berechtigung hätte. Das Wechseln in den Regelsteuerelemente-Admin-Modus war für ‹normale› Benutzer nie vorgesehen, aber infolge eines Fehlers in der Konfiguration der Steuerelemente möglich (dies war der Bug). Selbstverständlich wurde der Fehler umgehend korrigiert.»

Urs Philipp, Abteilungsleiter Fischerei & Jagd

«Ein Betreiber eines Angler-Shops wäre vermutlich äusserst interessiert an diesem Datenschatz», sagt Daniel. Er habe die Nutzerdaten selbstverständlich nicht geklaut, sondern das Datenleck der Fischerei- & Jagdverwaltung gemeldet.

Beim Kanton hat man umgehend reagiert. Ein Test am Mittwoch zeigte, dass die Lücke im Webshop inzwischen geschlossen ist. Zumindest diese Lücke, denn bei unseren Tests traten gleich zwei Mal «unerwarteter Fehler» auf. Der Webshop spukte Zeilenweise Fehlercode aus.

Richtig vertrauenserweckend ist dies nicht. Auch der Umstand, dass man es beim Amt für Landschaft und Natur nicht als notwendig erachtet, die Jäger und Fischer über das Datenleck zu informieren, auch wenn vielleicht gar keine Daten abgeflossen sind, ist ebenfalls wenig vertrauenserweckend.

Die Vermutung liegt nahe, dass man in der aktuellen Diskussion um die Einführung des E-Votings in der Schweiz eine gravierende Schwachstelle im Webshop des Kantons Zürich nicht an die grosse Glocke hängen will. 

Er habe auch die Nutzer eines Fischerforums auf Facebook über die Datenpanne informiert, sagt Daniel. Ein ihm nicht bekannter Nutzer habe sich zuerst amüsiert gezeigt. «Als ich ihm sagte, welches Patent er für welches Gewässer wann gekauft hat, fand er die Sache nicht mehr ganz so witzig.

Das könnte dich auch interessieren:

Die neue Bedrohung – wer sind die Incels und woher kommen sie?

Link zum Artikel

Die chinesische Hype-Firma Xiaomi kommt in die Schweiz – 7 Dinge, die du wissen musst

Link zum Artikel

Wie Erdogan innenpolitisch vom Krieg profitiert

Link zum Artikel

Poulet sollte man waschen? Kaffee ist ungesund? 11 Food-Mythen im Faktencheck

präsentiert vonMarkenlogo
Link zum Artikel

Der Impeachment-Krieg ist da – so stehen Trumps Chancen

Link zum Artikel

Trumps rechte Hand bestätigt aus Versehen, was nie passiert sein soll

Link zum Artikel

Armer Kanye! Seine Kim ist zu sexy für ihn und seine Seele, er will das alles nicht mehr

Link zum Artikel

Die Wildlife Photographer of the Year Awards wurden vergeben – die Bilder sind DER HAMMER

Link zum Artikel

Wohin steuert der Kapitalismus?

Link zum Artikel

Vergewaltigt, gebrochen, erneut vergewaltigt. Harvey Weinsteins sadistisches System

Link zum Artikel

Sportlerpics auf Social Media: Jack Sock hat ein süsses Date

Link zum Artikel

«Dort wo ich wohne, braucht man ein Auto» – so denken Erstwähler über Politik

Link zum Artikel

Wir haben den Wahlplakaten das Sprechen beigebracht – es war wohl ein Fehler 🤣

Link zum Artikel

Den Grün-Parteien könnte es ergehen wie der SVP vor vier Jahren

Link zum Artikel

Elizabeth Warren landet nächsten Treffer gegen Zuckerberg – mit genialem Facebook-Post

Link zum Artikel

23 vernichtende Cartoons, die Trumps «Verrat» an den Kurden perfekt auf den Punkt bringen

Link zum Artikel

Armuts-Studien: Der Wirtschafts-Nobelpreis geht an ein Trio

Link zum Artikel

Stell dir vor, das Bundesliga-Topspiel steht an und es spielen mehr Schweizer als Deutsche

Link zum Artikel

Grüne hinter der CVP: Die «ultimative» Wahlprognose von Claude Longchamp

Link zum Artikel

Noch einmal: Was hat Putin gegen Trump in der Hand?

Link zum Artikel

Diese 13 Bücher machen dich schlau(er)

Link zum Artikel

Hyvä Suomi! Finnlands Fussballer stehen vor dem ersten Turnier ihrer Geschichte

Link zum Artikel

Die 21 Ladys für den Bachelor sind da: Eine von ihnen muss er nehmen ...

Link zum Artikel

Jetzt kommt die E-ID – und darum laufen Netz-Aktivisten dagegen Sturm

Link zum Artikel
Alle Artikel anzeigen

Das könnte dich auch interessieren:

Die neue Bedrohung – wer sind die Incels und woher kommen sie?

357
Link zum Artikel

Die chinesische Hype-Firma Xiaomi kommt in die Schweiz – 7 Dinge, die du wissen musst

144
Link zum Artikel

Wie Erdogan innenpolitisch vom Krieg profitiert

8
Link zum Artikel

Poulet sollte man waschen? Kaffee ist ungesund? 11 Food-Mythen im Faktencheck

119
Link zum Artikel

Der Impeachment-Krieg ist da – so stehen Trumps Chancen

67
Link zum Artikel

Trumps rechte Hand bestätigt aus Versehen, was nie passiert sein soll

91
Link zum Artikel

Armer Kanye! Seine Kim ist zu sexy für ihn und seine Seele, er will das alles nicht mehr

45
Link zum Artikel

Die Wildlife Photographer of the Year Awards wurden vergeben – die Bilder sind DER HAMMER

41
Link zum Artikel

Wohin steuert der Kapitalismus?

103
Link zum Artikel

Vergewaltigt, gebrochen, erneut vergewaltigt. Harvey Weinsteins sadistisches System

99
Link zum Artikel

Sportlerpics auf Social Media: Jack Sock hat ein süsses Date

321
Link zum Artikel

«Dort wo ich wohne, braucht man ein Auto» – so denken Erstwähler über Politik

150
Link zum Artikel

Wir haben den Wahlplakaten das Sprechen beigebracht – es war wohl ein Fehler 🤣

28
Link zum Artikel

Den Grün-Parteien könnte es ergehen wie der SVP vor vier Jahren

130
Link zum Artikel

Elizabeth Warren landet nächsten Treffer gegen Zuckerberg – mit genialem Facebook-Post

61
Link zum Artikel

23 vernichtende Cartoons, die Trumps «Verrat» an den Kurden perfekt auf den Punkt bringen

119
Link zum Artikel

Armuts-Studien: Der Wirtschafts-Nobelpreis geht an ein Trio

17
Link zum Artikel

Stell dir vor, das Bundesliga-Topspiel steht an und es spielen mehr Schweizer als Deutsche

25
Link zum Artikel

Grüne hinter der CVP: Die «ultimative» Wahlprognose von Claude Longchamp

80
Link zum Artikel

Noch einmal: Was hat Putin gegen Trump in der Hand?

215
Link zum Artikel

Diese 13 Bücher machen dich schlau(er)

65
Link zum Artikel

Hyvä Suomi! Finnlands Fussballer stehen vor dem ersten Turnier ihrer Geschichte

22
Link zum Artikel

Die 21 Ladys für den Bachelor sind da: Eine von ihnen muss er nehmen ...

79
Link zum Artikel

Jetzt kommt die E-ID – und darum laufen Netz-Aktivisten dagegen Sturm

141
Link zum Artikel

Das könnte dich auch interessieren:

Die neue Bedrohung – wer sind die Incels und woher kommen sie?

357
Link zum Artikel

Die chinesische Hype-Firma Xiaomi kommt in die Schweiz – 7 Dinge, die du wissen musst

144
Link zum Artikel

Wie Erdogan innenpolitisch vom Krieg profitiert

8
Link zum Artikel

Poulet sollte man waschen? Kaffee ist ungesund? 11 Food-Mythen im Faktencheck

119
Link zum Artikel

Der Impeachment-Krieg ist da – so stehen Trumps Chancen

67
Link zum Artikel

Trumps rechte Hand bestätigt aus Versehen, was nie passiert sein soll

91
Link zum Artikel

Armer Kanye! Seine Kim ist zu sexy für ihn und seine Seele, er will das alles nicht mehr

45
Link zum Artikel

Die Wildlife Photographer of the Year Awards wurden vergeben – die Bilder sind DER HAMMER

41
Link zum Artikel

Wohin steuert der Kapitalismus?

103
Link zum Artikel

Vergewaltigt, gebrochen, erneut vergewaltigt. Harvey Weinsteins sadistisches System

99
Link zum Artikel

Sportlerpics auf Social Media: Jack Sock hat ein süsses Date

321
Link zum Artikel

«Dort wo ich wohne, braucht man ein Auto» – so denken Erstwähler über Politik

150
Link zum Artikel

Wir haben den Wahlplakaten das Sprechen beigebracht – es war wohl ein Fehler 🤣

28
Link zum Artikel

Den Grün-Parteien könnte es ergehen wie der SVP vor vier Jahren

130
Link zum Artikel

Elizabeth Warren landet nächsten Treffer gegen Zuckerberg – mit genialem Facebook-Post

61
Link zum Artikel

23 vernichtende Cartoons, die Trumps «Verrat» an den Kurden perfekt auf den Punkt bringen

119
Link zum Artikel

Armuts-Studien: Der Wirtschafts-Nobelpreis geht an ein Trio

17
Link zum Artikel

Stell dir vor, das Bundesliga-Topspiel steht an und es spielen mehr Schweizer als Deutsche

25
Link zum Artikel

Grüne hinter der CVP: Die «ultimative» Wahlprognose von Claude Longchamp

80
Link zum Artikel

Noch einmal: Was hat Putin gegen Trump in der Hand?

215
Link zum Artikel

Diese 13 Bücher machen dich schlau(er)

65
Link zum Artikel

Hyvä Suomi! Finnlands Fussballer stehen vor dem ersten Turnier ihrer Geschichte

22
Link zum Artikel

Die 21 Ladys für den Bachelor sind da: Eine von ihnen muss er nehmen ...

79
Link zum Artikel

Jetzt kommt die E-ID – und darum laufen Netz-Aktivisten dagegen Sturm

141
Link zum Artikel

Abonniere unseren Newsletter

16
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
16Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Bits_and_More 03.05.2018 14:35
    Highlight Highlight Via Cache ist das besagte Fenster noch zu finden / öffnen.
    Was sonst noch so zu finden ist, habe ich nicht ausprobiert.
    Benutzer Bild
  • fischbrot 03.05.2018 13:00
    Highlight Highlight Leute, lasst die Kirche im Dorf! Es ist lächerlich, die Sicherheit von eVoting in Zusammenhang mit dieser unbedeutenden Datenpanne zu bringen.

    Wir sprechen hier von einem Webshop eines unbedeutenden Amtes mit Daten, die nicht mal wirklich schützenswert wären. Kaum vergleichbar, mit einer eVoting-Infrastruktur, welche mit einem tausendfachen an Budget und von Anfang an mit Fokus auf höchster Datensicherheit konzipiert wird.

    Aus dem Vorkommnis des einen Vorhersagen über die Datensicherheit des anderen abzuleiten ist einfach nur lächerlich und zeigt, dass man wenig Ahnung von der Materie hat.
    • fischbrot 03.05.2018 14:38
      Highlight Highlight "Es ist nur Zufall ob es "unbedeutende" oder eben bedeutende Datenpannen sind." --> Genau DAS ist eben nicht korrekt.

      Ebensowenig hat der Wunsch nach Datensicherheit mit Abgestumpftheit der Arbeitnehmer zu tun, das sind Ängste, welche nicht auf Tatsachen beruhen (ich darf das sagen, ich bin Insider).

      Datensicherheit hat schlicht nur mit 2 Dingen zu tun: Expertise und Geld. Je mehr vorhanden, desto besser die Datensicherheit, desto kleiner das Restrisiko.

      Beides hat im obigen Beispiel gefehlt, wird aber im Aufbau des eVoting zur Genüge vorhanden sein. Alles andere ist schlicht Panikmache.
    • fischbrot 03.05.2018 16:15
      Highlight Highlight @AlteSchachtel: Etwas weiter oben benennst du Abgestumpftheit als Grund, nun Sparmassnahmen. Worauf fussen deine Aussagen und Behauptungen? Mich würde interessieren, ob du Einsicht in verwaltungsbezogene ICT-Projekte hast, oder ob du deine Aussagen auf Medienberichten oder subjektiven Wahrnehmungen beruhen..
    • Stogge 03.05.2018 16:40
      Highlight Highlight Also dieses Restrisikio ist auch bei der brieflichen Stimmabgabe vorhanden. Falls jemand der Stimmenzähler wissen will, wer wie gestimmt hat, kann er das auch heute. Klar ist es schwieriger die explizite Person zu finden unter den tausenden von Briefen.

      Alle die behaupten, jetzt sei es sicher, waren noch nie an einer Auszählung beteiligt. Das Restrisiko bleibt bei beiden Arten vorhanden. Für mich ist das eVoting ein Vorteil, da ich mir vorstellen kann, dass die jüngere Generation dies vermehrt "an die Urne" bringen würde.
    Weitere Antworten anzeigen
  • aglio e olio 03.05.2018 12:24
    Highlight Highlight "Die Vermutung liegt nahe, dass man in der aktuellen Diskussion um die Einführung des E-Votings in der Schweiz eine gravierende Schwachstelle im Webshop des Kantons Zürich nicht an die grosse Glocke hängen will."

    Die grosse Glocke würde mir aber zeigen, dass offen kommuniziert wird und man nicht geneigt ist so einen Vorfall zu verschweigen.
    So aber wird Skepsis zu Misstrauen.
  • Skater88 03.05.2018 12:19
    Highlight Highlight Wieso wusste er wo klicken, was es bewirkt und macht das dann auch?
    • Eine_win_ig 03.05.2018 12:57
      Highlight Highlight Interesse? Hast du dich noch nie in deinem Leben gefragt, was passiert wenn...
      Ich hoffe du hast :) sonst veroasst du viel vom Leben :)
  • fischbrot 03.05.2018 12:14
    Highlight Highlight Gott sei Dank, dass diese hochsensiblen Daten nicht in die falschen Hände gerieten. Man stelle sich vor was geschehen wäre, wenn die Russen erfahren würden, dass Herr Stöckli eine Jagdpacht im Hürniwald hätte 😁
  • Der Teufel auf der Bettkante 03.05.2018 12:08
    Highlight Highlight Datenleck beim Kanton Zürich - aber eVoting soll sicher sein?
    • fischbrot 03.05.2018 12:15
      Highlight Highlight Denkst du nicht, dass du hier Äpfel mit Birnen vergleichst?
    • Töfflifahrer 03.05.2018 13:05
      Highlight Highlight Es zeigt einfach auf, dass idiotische kleine Fehler, sei es in der Software und/oder beim Bedienen und Konfigurieren sehr schnell zu fatalen Fehlern führen kann.
    • DerRabe 04.05.2018 08:47
      Highlight Highlight es zeigt nur, dass bei jedem system abgewägt werden muss, wie sicher es zu sein hat und damit auch wie viel es kosten darf. bei einem fischer/jäger e-Shop hätte auch ich gesagt; sooo sicher muss das jetzt nicht sein. Bei eVoting würde wohl niemand so eine Behauptung aufstellen.

Er riskierte sein Leben, um die Welt zu warnen – jetzt meldet sich Edward Snowden zurück

Schon in jungen Jahren spionierte er für die CIA in Genf. Nun will uns der Whistleblower mit einem neuen Buch zeigen, auf was es wirklich ankommt.

Edward Snowden war 30, als er alles, was ihm lieb war, hinter sich liess, um die Welt vor Big Brother und Massenüberwachung zu warnen. Jetzt meldet sich der NSA-Whistleblower, der seit 2013 in Russland im Exil leben muss, wieder zu Wort. Und seine jüngste Warnung klingt nicht weniger eindrücklich, im Gegenteil: Unsere offenen Gesellschaften und demokratischen Länder seien gefährdeter denn je.

Wir geben nachfolgend die wichtigsten Aussagen aus einem Interview wieder, das der schottische …

Artikel lesen
Link zum Artikel