Nachdem ich vor wenigen Tagen erst den individualiserten Zeitungsdruck von niiu.de in einem längeren Test besprochen habe und weiterhin gern meine tägliche Zeitungs-Zusammenstellung per Post erhalte, musste ich heute feststellen, dass niiu.de derzeit unter einer problematischen Sicherheitslücke leidet: Es ist es möglich, anonym sämtliche individualisierten Zeitungsausgaben inklusive persönlicher Daten über das Internet abzurufen.

Über eine einfache Link-Manipulation erhält man Zugriff auf

• Name und Adresse der Abonnenten und
• die jeweils kompletten einzelnen abonnierten Ausgaben,
• eine Liste der abonnierten Zeitungsinhalte der Abonnenten,
• eine Liste der abonnierten Blogs der Abonnenten.

Die beiden letzten Punkte ergeben sich aus den jeweiligen Ausgaben selbst.

Es ließe sich ebenso abschätzen, wie viele Kunden niiu derzeit hat, wie stark das Kundenwachstum ist und wie viele Kunden im Laufe der letzten Monate gekommen und gegangen sind, sowie welche Inhaltsbereiche welcher Zeitungen bei den Kunden am meisten gefragt sind. Mit etwas Geduld ließe sich wahrscheinlich eine ungefähre Unterscheidung des aktiven Kundenstamms in bereits zahlende und Probekunden machen, wodurch die Umsatzzahlen aus Abonnenten-Zahlungen abgeschätzt werden können.

Neben den in den individualisierten Ausgaben offen liegenden persönlichen Daten und den möglichen statistischen Auswertungen, die sowohl für Kunden als auch niiu mehr als unerfreulich sein dürften, liegen zwangsweise auch alle abonnierten Zeitungsinhalte der jeweiligen Druckausgaben offen im Netz. Dies betrifft somit:

• Abendzeitung München,
• B.Z.,
• Berliner Morgenpost,
• BILD,
• Der Tagesspiegel,
• die tageszeitung (taz),
• Frankfurter Rundschau,
• Hamburger Abendblatt,
• Handelsblatt,
• International Herald Tribune,
• Komsomolskaya Pravda,
• Mitteldeutsche Zeitung,
• Neue Osnabrücker Zeitung,
• Neues Deutschland,
• Nordwest Zeitung,
• The New York Times,
• Washington Times.

Interessant ist die Tatsache, dass niiu über sein Webportal seinen Kunden offiziell nur den Zugriff auf die jeweils tagesaktuelle Ausgaben erlaubt, intern aber alle Ausgaben vorhält. Das macht Sinn, wenn geplant ist, Kunden später auch den Zugang zu älteren persönlichen Ausgaben einzuräumen. Momentan lässt sich aber auch vermuten, dass die Ausgaben ehemaliger Kunden weiterhin vorgehalten werden, was sicher nicht ganz unproblematisch ist, da diese Informationen nicht mehr der Leistungserbringung dienen.

niiu äußert sich in seinen Datenschutzbestimmungen übrigens wie folgt:

1.
niiu respektiert die Privatsphäre der Nutzer ihrer Angebote und verpflichtet sich, die von den Nutzern bereitgestellten Informationen jederzeit mit größter Sorgfalt und größtem Verantwortungsgefühl zu behandeln. Dies betrifft auch und insbesondere die Zusammenarbeit mit Partnern und Dritten. niiu übernimmt jedoch keine Haftung für Dritte, soweit dies nicht gesondert erklärt wird.

2.
niiu sichert die niiu-Website und sonstigen Systeme durch technische und organisatorische Maßnahmen gegen Verlust, Zerstörung, Zugriff, Veränderung oder Verbreitung von Nutzerdaten durch unbefugte Personen. Trotz regelmäßiger Kontrollen ist ein vollständiger Schutz gegen alle Gefahren jedoch nicht möglich.
Quelle: niiu.de

Vor Veröffentlichung dieses Artikels wurde niiu per E-Mail über das Problem informiert.

[Aktualisierung]

18. September 2010, 12:43 Uhr:

Wanja Oberhof, einer niiu-Gründer, hat telefonisch die Lücke bestätigt und bekräftigt, dass bereits mit Hochdruck an einer Lösung gearbeitet wird.

Mehrere Online-Magazine und Blogs, darunter netzpolitik.org, golem.de und heise.de haben das Thema bereits aufgegriffen. Gegenüber golem.de wurde von niiu betont, dass das Problem nur Kunden betreffe, die die PDF-Version explizit bestellt hätten. (Quelle)