Gibt es im Gamescom-Ticketing-System eine schwerwiegende Sicherheitslücke? Die Koelnmesse betont: Die Nutzer-Daten seien sicher.
Update vom 6. Mai 2024: Ein Sprecher der Landesbeauftragten für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen hat auf Anfrage von GamesWirtschaft bestätigt, dass sich der Hinweisgeber an die Düsseldorfer Behörde gewandt hat. Bereits am 30. April 2024 – also am Dienstag vergangener Woche – sei die Koelnmesse zur Stellungnahme aufgefordert worden.
Eine abschließende Bewertung des Vorgangs sei erst im Anschluss möglich – inklusive „etwaiger erforderlicher Aufsichtsmaßnahmen“.
Update vom 3. Mai 2024: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich zum vorliegenden Fall geäußert.
Meldung vom 2. Mai 2024: IT-Student Patrik – der bei X unter dem Pseudonym apex_1337 auftritt – ist erkennbar auf der Zinne: „Ich hab eine Sicherheitslücke bei einem Unternehmen gefunden und gemeldet. Aber seither meldet sich kein Mensch. Selbst auf Nachfrage: ‚Wurde weitergegeben…‘. Seit dem 14. Juli…“
Zu diesem Zeitpunkt – am 16. August 2023 – hielt er den Namen des besagten Unternehmens noch unter Verschluss. Das hat sich am vergangenen Freitag geändert – denn gemeint ist die Koelnmesse, der Veranstalter der Gamescom:
„Da ich bisher nichts weiter erhalten habe, mach ich das ganze etwas konkreter öffentlich. Koelnmesse, danke für die Anzeige. Ich werde den potentiellen IT-Sicherheitsvorfall heute noch dem BSI (Bundesamt für Sicherheit in der Informationstechnik, Anm. d. Red.) melden und dem zuständigen Datenschutzbeauftragten des Landes NRW.“
Der Grund: Nach Patriks Einschätzung besteht die Sicherheitslücke nach wie vor – wer Böses im Schilde führt, könne sich vollständige Datensätze inklusive Name, Anschrift, E-Mail, Mobilnummer und Infos zu den dazugehörigen Tickets aus dem System ziehen – inklusive der Information, ob es sich um einen prominenten Content Creator handelt.
Der Vorwurf ist schwerwiegend: Die Videospiele-Messe zählt zu den europaweit größten Fach- und Publikumsmessen mit zuletzt 320.000 Besuchern. Am 21. August startet die Gamescom 2024 auf dem Kölner Messegelände – der Ticket-Vorverkauf läuft seit März.
Gamescom 2024: Koelnmesse dementiert Sicherheitslücke
Nun hätte man vermuten können, dass sich „das Unternehmen“ mindestens mit einem Blumen-Bouquet und einer Schachtel Pralinés für den freundlichen Hinweis bedankt. Stattdessen flatterte Patrik im Januar eine Vorladung der Staatsanwaltschaft ins Haus – vorgeblich als Zeuge. Im Verlauf der Vernehmung sei die ‚Stimmung‘ dann gekippt: So wurden dem Studenten unter anderem die beruflichen Folgen einer Vorstrafe aufgezeigt.
Aus dem ‚Zeugen‘ war offenkundig ein Beschuldigter geworden, der jetzt die Flucht nach vorn antritt. Er lasse sich nicht unterkriegen – zumal sich der Vorgang persönlich hätte klären lassen, wozu er „gern nach Köln gekommen“ wäre. Der entsprechende X-Thread wurde mittlerweile mehr als 300 Mal weiterverbreitet – eine vierstellige Zahl an Usern hat sich solidarisiert.
In seinem Beitrag schreibt er weiter: „Falls die Kölnmesse GmbH der Meinung ist, dass es der richtige Weg war, Anzeige zum ‚Verdacht auf Computersabotage/-betrug‘ gegen mich zu erstatten und somit jemanden, mit einer an euch direkt gemeldeten Sicherheitslücke, ruhig zu stellen … nicht mit mir.“
Der Vorgang wirft zwangsläufig Fragen auf – zum Beispiel: Wurde das Problem zwischenzeitlich behoben oder bestehen weiterhin Risiken? Ist es zwischenzeitlich zu einem Abfluss und/oder Missbrauch von Datensätzen beziehungsweise Adressdaten gekommen? Und warum geht die Koelnmesse überhaupt juristisch gegen solche Hinweise auf potenzielle Sicherheitslücken vor?
Ein Sprecher der Koelnmesse betont auf Anfrage von GamesWirtschaft: „Der thematisierte Fall ist uns seit vergangenem Jahr bekannt und wurde direkt nach Bekanntwerden behandelt. Es gab und gibt kein Daten-Leak bei der Gamescom. Wir nehmen jede Meldung über potenzielle Sicherheitslücken sehr ernst und überprüfen jeden Verdacht genau. Die Daten der Gamescom-Besuchenden sind sicher.“
GamesWirtschaft hat weitere Stellen um Stellungnahmen gebeten – Update folgt.
Immer freitags, immer kostenlos: Jetzt GamesWirtschaft-Newsletter abonnieren!
GamesWirtschaft auf Social Media: LinkedIn ● Facebook ● X ● Threads ● Bluesky
