Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bewertet die ‚Schwachstellenmeldung‘ im Gamescom-Ticket-System als „technisch plausibel“.
Am Freitag vergangener Woche hat IT-Student Patrik auf seinem X-Kanal eine potenzielle Sicherheitslücke im Ticketing-System der Gamescom öffentlich gemacht. Das Problem habe er bereits Mitte August 2023 entdeckt und unmittelbar der Koelnmesse gemeldet, dem Veranstalter der Kölner Spielemesse. Laut seiner professionellen Einschätzung war die Schwachstelle dazu geeignet, auf sensible Daten – Name, Adresse, Mobilnummer, E-Mail, Ticket-Infos – registrierter Kunden zuzugreifen.
Auf den Hinweis folgte: zunächst nichts. Stattdessen erreichte ihn im Januar eine Vorladung der Kölner Staatsanwaltschaft und eine Anzeige wegen des ‚Verdachts auf Computersabotage-/betrug‘, gegen die sich Patrik nun zur Wehr setzt (Details). Unter anderem hat er das Thema nachträglich hocheskaliert – nämlich zum Bonner Bundesamt für Sicherheit in der Informationstechnik (BSI) und zur Datenschutzbeauftragten des Landes Nordrhein-Westfalen.
Auf Anfrage von GamesWirtschaft teilte die Koelnmesse am Dienstag mit, dass der thematisierte Fall seit vergangenem Jahr bekannt und direkt nach Bekanntwerden „behandelt“ worden sei. Damit einher geht ein klares Dementi: „Es gab und gibt kein Daten-Leak bei der Gamescom. Wir nehmen jede Meldung über potenzielle Sicherheitslücken sehr ernst und überprüfen jeden Verdacht genau. Die Daten der Gamescom-Besuchenden sind sicher.“
Kurz vor dem Wochenende hat das BSI nun den Vorgang und die Position der Koelnmesse eingeordnet. Vorläufige Erkenntnis des Bundesamts: Die hauseigenen Experten hätten die eingereichte „Schwachstellenmeldung“ nachvollziehen können – der Vorgang sei „technisch als plausibel“ einzustufen. Die Behörde schränkt allerdings ein: „Eine Überprüfung der Verwundbarkeit – also die konkrete Ausnutzung der Schwachstelle – findet dabei nicht statt.“
Zur weiteren Vorgehensweise will sich das BSI derzeit nicht äußern: Im vorliegenden Fall will man als „Vermittler“ und „Schlichter“ auftreten und auf eine konstruktive Zusammenarbeit mit dem Unternehmen hinwirken – auch um herauszufinden, welche Gegenmaßnahmen ergriffen wurden. Der Fall ist also noch nicht abgeschlossen. Auch die Kölner Staatsanwaltschaft hat sich bislang nicht abschließend geäußert.
Bleibt die Frage: Ist es aus der täglichen Praxis heraus normal und üblich, dass Sicherheitslücken-Hinweisgeber belangt werden? Beim BSI zeigt man sich verwundert: „Dem BSI sind keine juristischen Verfolgungen bekannt, bei denen Sicherheitsforschende das BSI nach Entdeckung einer Schwachstelle als erstes kontaktierten. Der vertrauensvolle Umgang mit Informationen der Meldenden wird durch das BSI stets gewahrt. Eine Meldung kann auf Wunsch auch anonymisiert erfolgen.“
Zur Gamescom 2024 werden ab dem 21. August 2024 wieder mehrere Hunderttausend Fach- und Privatbesucher erwartet; der Ticketvorkauf läuft bereits.
