Datenschutz ade auf SPD.de.

Ich habe heute meinen SPD-Mitgliedsbeitrag gesenkt. Das hat seinen guten Grund, denn ich möchte Mitglied in einer Rettungsorganisation werden, ich habe für gemeinnützige Dinge einen Etat in meinem Einkommen und dann muss im Zweifel halt jemand daran glauben, wenn ich darin umschichte. Die SPD wird es überleben.

Ob ich die Änderung des Mitgliedsbeitrages überlebe, ich schon wieder eine andere Frage. Denn in Sachen Datenschutz erlaubt sich die SPD auf ihrer Online-Plattform eine Schwachstelle, die so derartig dumm, dreist, gestört, bescheuert ist, dass man kotzen könnte bei so viel Dummheit. Und das allein schon aus dem Hintergrund heraus, dass die SPD vor vielen, vielen Jahren einmal online so etwas wie Pionierarbeit geleistet hat. Lange her.

Heute kann man sich auf SPD.de im Mitgliederbereich mit Zugangsdaten anmelden und dann in einem verschlüsselten Mitgliederbereich seine Kontaktdaten und Mitgliedsbeitrag ändern. Das Formular ist bis auf die Mitgliedsnummer nicht vorab ausgefüllt, aber nun gut, damit kann man leben. Vielleicht ist das ja auch nur eine Art Gedächtnistest oder eine Kindersicherung.

Also, Formular ausgefüllt, auch nochmal mit meinen Kontaktdaten. Aus Deutschland wurde am Ende zwar Djibuti und der Startzeitpunkt für den neuen Mitgliedsbeitrag änderte sich auf magische Weise von „9 2013“ auf „9 2012“, aber das kann ja auch mein Fehler gewesen sein. Es macht natürlich auch vollkommen Sinn, bei der Auswahl des Zeitpunktes für den neuen (!) Mitgliedsbeitrag noch das Jahr 2012 anzubieten. Und es macht auch vollkommen Sinn, bei der Angabe eines neuen Mitgliedsbeitrages zwingend einen Beruf angeben zu müssen, bei dem dann aber der Beruf eines Minusstriches („-„) akzeptiert wird. Ist ja eigentlich auch ein ehrenwerter Beruf, so ein Minusstrich. Denkt man sich bestimmt so, wenn man damit beauftragt wird, ein dämliches Online-Formular zu basteln.

Was definitiv nicht mein Fehler ist, ist das, was nach dem Absenden des SSL-gesicherten Online-Formulares passiert. Die SPD hat zwar ein Intranet mit ihren Landesniederlassungen und Kreisbüros und auch eine zentrale Mitgliederdatenbank, aus der sich letztendlich die ganzen Gliederungen auch bedienen, aber dennoch wird eine E-Mail an meinen Kreisverband, an „eintreten@spd.de“ und an mich versendet. Unverschlüsselt. Mit all den Daten, die ich soeben in das verschlüsselte Formular eingegeben hatte. Also auch mit meinen Daten meines Girokontos.

Screenshot, bitte. Die wirklich sensiblen Bereiche habe ich in diesem Screenshot netterweise mal geschwärzt (mit einem Klick darf man das alles großmachen):Unverschlüsselte Bestätigungsmail von SPD.de mit sensiblen Kontaktdaten

Für den, der das bei der SPD oder bei der Online-Agentur, die die SPD derzeit betreut, verbockt hat: Du alter Pimmelkopp, man sollte solche Anfänger wie dich wegsperren und zwangsumschulen auf Fensterputzer oder sowas ähnliches.

Ergänzung: Ja, natürlich habe ich den Betreffenden über dieses Sicherheitsloch informiert, nämlich via Rückantwort an die „Eintreten“-Mailadresse. Ich habe danach dennoch darüber gebloggt, weil die Veröffentlichung des Sicherheitsproblems keinen Raum für direkte Datenmanipulationen eröffnet (so hoffe ich doch wenigstens). Schlicht gesagt: Es ist haarsträubende Schlamperei und verpasstes Sicherheitsauditing und solche Defekte gehören unmittelbar an die Öffentlichkeit.

2 Gedanken zu „Datenschutz ade auf SPD.de.

  1. Auwei. Das ist richtig heftig!

    Den Beitrag würde ich gerne überall verlinken, aber ich möchte der Partei nicht mehr Schaden, als das, was sie selbst mit vollstem Einsatz schon schafft.

    Hast Du außer dem Beitrag auch einem „Verantwortlichen“ geschrieben?

    1. Ja, ich habe gestern noch eine E-Mail an die angegebene „Eintreten“-Mailadresse geschrieben. Ich habe dennoch sofort darüber geblockt, da es sich bei dem Sicherheitsproblem um kein Problem handelt, dass durch Verschweigen besser wird bzw. geschützt werden müsste.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *