Zwischen dem 15. März und 20. Juni diesen Jahres waren die Meldedaten aus 200 Meldeämtern im Internet frei verfübar. Der Grund: Die Mitarbeiter der Meldeämter hatten das Vorgabe-Passwort der Verwaltungssoftware nicht geändert und genau dieses Passwort war auf den Webseiten des Herstellers der Software HSH Soft- und Hardware Vertriebs GmbH.
Genauer: Die Passwörter konnten Dritte entdecken, wenn sie die Webseite www.meldebehoerde.de besuchten, auf der Demoversionen der HSH-Programme zum testen angeboten werden. Beim Überfahren des dortigen Links zur Demoversion der Online-Gewerberegisterauskunft, erschienen „dank“ JavaScript die Zugangsdaten im Klartext.
Betroffen waren laut HSH 40 Betreiber des Informationsregisters mit 425 Anwendern in den Kommunen, darunter: Rathenow, Plauen und Velbert, Neuhardenberg und Henningsdorf, Potsdam und zahlreichen bayerischen Meldeämtern. In mindestens vier Kommunen wurden nach Einsicht in die Zugriffsprotokolle Einwohnerdaten mit dem Auslieferungspasswort abgefragt.
Abrufbar waren damit Informationen wie Namen, Religionszugehörigkeit, Geburtsdaten, Ehepartner, Reisepass- und Personalausweisnummern, Fotos, Adressen von aktuellen und früheren Wohnorten sowie zum Teil sogar Finanzdaten. Bei zufällig eingegebenen Straßennamen erschienen alle dort wohnhaften Bürger.
Die Schuld ist in erster Linie bei der Firma HSH zu suchen, die die Passwörter frei im Internet zugänglich gemacht hat. Teilschuld tragen sicherlich auch die Mitarbeiter der Meldeämter, welche die Passwörter nicht geändert haben. Aber auch hier hätte die Software von HSH dieses Verhalten aus datenschutz- und sicherheitsrechtlichen Gründen erzwingen müssen. HSH versorgt über 2000 Gemeinden mit ihrer Software, sucht die Schuldigen aber in den Meldeämtern: Ursache für das zeitweise aufgetretene Sicherheitsproblem waren nicht die Online-Anwendungen, sondern ist letztlich der Faktor Mensch.