Bundesamt für Sicherheit in der Informationstechnik

G 4.94 Unbefugter Zugriff auf Daten eines anderen Mandanten bei Webanwendungen und Web-Services

Ein zentraler Vorteil bei der Realisierung von IT-Diensten als Web-Services ist die Möglichkeit, identische Dienste auf einer gemeinsamen technischen Infrastruktur für verschiedene Anwender ("Mandanten") anzubieten und so die Betriebskosten pro Mandant zu senken. Die Art der angebotenen Dienste kann dabei vielfältig sein, von Cloud-Speicherdiensten über Online-Zahlungsdienste bis hin zu Business-Anwendungen wie zum Beispiel CRM oder Finanzbuchhaltung.

Sofern die Web-Services dabei auf mandantenspezifische Datenbestände zugreifen, besteht die Gefahr, dass durch Konzeptions- oder Implementierungsfehler Zugriffsmöglichkeiten auf Datenbestände der anderen Mandanten des Dienstes entstehen. Typische Ursachen für solche Fehler sind:

  • Benutzer werden einem Mandanten falsch zugeordnet: Wenn bei der Administration der Benutzer und Berechtigungen durch einen Bedien- oder Programmfehler eine falsche Zuordnung vorgenommen wird, kann ein Mitarbeiter eines Mandanten irrtümlich Zugriff auf die Daten eines anderen Mandanten erhalten. Hierbei kann es sich auch um die fehlerhafte automatisierte Abbildung von Benutzern auf technische Dienstkonten in Hintergrund-Systemen handeln.
  • Fehler in der Programmlogik: Soweit die Trennung der mandantenspezifischen Daten nur durch Prüfungen im Programmcode realisiert ist, können einfache Programmierfehler zum Zugriff auf falsche Daten führen, die unter Umständen auch zu einem anderen Mandanten gehören.
  • Fehlende Prüfungen beim direkten Aufruf von Web-Services: Werden beim direkten Aufruf eines Web-Service Parameter übergeben (oder bei REST -basierten Web-Services URL -Bestandteile geändert), die sich auf Daten eines anderen Mandanten beziehen, so besteht bei fehlerhafter beziehungsweise fehlender Umsetzung von Prüfungen die Möglichkeit, dass Daten des anderen Mandanten angezeigt oder verarbeitet werden.
  • Unbefugter Zugriff auf administrative Schnittstellen: Sind administrative Funktionen für die mandantenübergreifende Verwaltung des Dienstes, insbesondere durch den Web-Service-Anbieter selbst, nicht ausreichend gegen unbefugten Zugriff gesichert, so kann auch hierüber ein Zugriff auf mandantenspezifische Daten möglich werden.
  • Unnötige Kenntnisnahme von fremden Daten im Rahmen von Ermittlungstätigkeiten: Zur Aufklärung von Sicherheitsvorfällen kann es sein, dass Dienstnutzer oder dritte Stellen (zum Beispiel Ermittlungsbehörden) Einsicht in Protokolldaten oder IT-forensische Untersuchungen an den eingesetzten Systemen verlangen. Fehlen entsprechende Konzepte für die Sicherstellung der Datentrennung in solchen Fällen, so können dabei unbeabsichtigt auch sensible Daten anderer, vom Vorfall nicht betroffener Mandanten erhoben und zum Beispiel in Untersuchungsberichten dokumentiert werden.

Der Zugriff auf Daten fremder Mandanten kann in allen Fällen auch die Daten der eingerichteten Dienstnutzer, darunter insbesondere auch Authentisierungsinformationen (zum Beispiel Passwörter) umfassen. In diesem Fall können die Auswirkungen auch über den betroffenen Dienst hinausgehen, sofern die Authentisierungsdaten auch für andere Dienste genutzt werden oder Rückschlüsse auf Passwortmuster der Anwender erlauben.

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK