Start Gamescom Gamescom 2024: Koelnmesse dementiert Sicherheitslücke (Update)

Gamescom 2024: Koelnmesse dementiert Sicherheitslücke (Update)

0
"Die Daten der Gamescom-Besuchenden sind sicher": Die Koelnmesse dementiert eine kolportierte Sicherheitslücke (Abbildung: ähnlich)
"Die Daten der Gamescom-Besuchenden sind sicher": Die Koelnmesse dementiert eine kolportierte Sicherheitslücke (Abbildung: ähnlich)

Gibt es im Gamescom-Ticketing-System eine schwerwiegende Sicherheitslücke? Die Koelnmesse betont: Die Nutzer-Daten seien sicher.

Update vom 8. August 2024: Auf Anfrage von GamesWirtschaft bestätigt nun auch der NRW-Datenschutz-Beauftragte (LDI) den Abschluss der Untersuchung – die Düsseldorfer Behörde wurde unmittelbar nach Bekanntwerden des Vorgangs im Mai eingeschaltet.

Im Ergebnis seien „aufsichtsrechtliche Maßnahmen nicht angezeigt“: Der LDI schließt sich der Bewertung der Koelnmesse an, wonach es nicht zu einer Verletzung beim Schutz personenbezogener Daten gekommen sei.

Weiter heißt es: „Die potentielle Sicherheitslücke bestand nach unserem Kenntnisstand darin, dass es für Unbefugte möglich gewesen wäre, sich über das Erraten einer 14-stelligen Zahlenkombination Zugang zu einer aktiven Sitzung einer anderen Person zu verschaffen. Eine Untersuchung durch einen Dienstleister hat laut der Koelnmesse GmbH aber keine Hinweise auf eine erfolgreiche Ausnutzung dieser potentiellen Schwachstelle gezeigt.“

Die mögliche Sicherheitslücke sei kurzfristig durch einen Validierungs-Cookie und die Verkürzung der Sitzungen behoben worden – auf weitere Maßnahmen könne man aus „berechtigten Geheimhaltungsgründen“ nicht eingehen. Angriffe auf das Ticketing-System würden nach Einschätzung der Experten zuverlässig unterbunden.


Update vom 7. August 2024: Zwei Wochen vor dem Start der Gamescom 2024 (21. bis 24. August) hat die Koelnmesse eine Stellungnahme mit Blick auf die Datensicherheit der hauseigenen IT-Systeme veröffentlicht. Im Mai hatte ein IT-Student auf eine potenzielle Sicherheitslücke im Ticketing hingewiesen – und den Fall auch den Behörden gemeldet.

Die Schutz personenbezogener Daten im Kontext der Gamescom würden „sehr ernst“ genommen, betont die Messegesellschaft. Es würden jederzeit umfangreiche Maßnahmen getroffen, um sicherzustellen, dass die Daten aller Besucher (inklusive Presse und Creator) geschützt sind und nur autorisierte Personen darauf Zugriff hätten.

„Der in den sozialen Medien diskutierte Fall einer vermeintlichen Schwachstelle im Ticket-Shop der Gamescom wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und von der Koelnmesse eingehend geprüft. Auf Basis dessen sieht das BSI keinen Anlass für weitere Untersuchungen.

Um die Sicherheit unserer IT-Systeme zu bestätigen und die Infrastruktur weiter zu verbessern, hat die Koelnmesse daraufhin zusätzlich ein unabhängiges spezialisiertes IT-Sicherheitsunternehmen mit weitreichenden Tests beauftragt. Diese Ergebnisse unterstreichen, dass die Daten geschützt sind.“

Aus der Stellungnahme geht nicht hervor, ob diese Sicherheitslücke existierte oder erst entlang der Hinweise abgedichtet wurde. In einer ersten Reaktion hatten die Gamescom-Veranstalter darauf verwiesen, der thematisierte Fall sei „bekannt“. Daten seien nicht abgeflossen: „Es gab und gibt kein Daten-Leak bei der Gamescom.“ Andernfalls hätten die betroffenen Kunden ohnehin proaktiv informiert werden müssen.

Während das BSI den Fall offenkundig abgeschlossen hat, gibt es seitens des Beauftragten für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen noch keinen Befund: Ende Juni hatte die Behörde auf Anfrage von GamesWirtschaft betont, die Bewertung sei noch nicht abgeschlossen.


Update vom 6. Mai 2024: Ein Sprecher der Landesbeauftragten für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen hat auf Anfrage von GamesWirtschaft bestätigt, dass sich der Hinweisgeber an die Düsseldorfer Behörde gewandt hat. Bereits am 30. April 2024 – also am Dienstag vergangener Woche – sei die Koelnmesse zur Stellungnahme aufgefordert worden.

Eine abschließende Bewertung des Vorgangs sei erst im Anschluss möglich – inklusive „etwaiger erforderlicher Aufsichtsmaßnahmen“.


Update vom 3. Mai 2024: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich zum vorliegenden Fall geäußert.


Meldung vom 2. Mai 2024: IT-Student Patrik – der bei X unter dem Pseudonym apex_1337 auftritt – ist erkennbar auf der Zinne: „Ich hab eine Sicherheitslücke bei einem Unternehmen gefunden und gemeldet. Aber seither meldet sich kein Mensch. Selbst auf Nachfrage: ‚Wurde weitergegeben…‘. Seit dem 14. Juli…“

Zu diesem Zeitpunkt – am 16. August 2023 – hielt er den Namen des besagten Unternehmens noch unter Verschluss. Das hat sich am vergangenen Freitag geändert – denn gemeint ist die Koelnmesse, der Veranstalter der Gamescom:

„Da ich bisher nichts weiter erhalten habe, mach ich das ganze etwas konkreter öffentlich. Koelnmesse, danke für die Anzeige. Ich werde den potentiellen IT-Sicherheitsvorfall heute noch dem BSI (Bundesamt für Sicherheit in der Informationstechnik, Anm. d. Red.) melden und dem zuständigen Datenschutzbeauftragten des Landes NRW.“

Der Grund: Nach Patriks Einschätzung besteht die Sicherheitslücke nach wie vor – wer Böses im Schilde führt, könne sich vollständige Datensätze inklusive Name, Anschrift, E-Mail, Mobilnummer und Infos zu den dazugehörigen Tickets aus dem System ziehen – inklusive der Information, ob es sich um einen prominenten Content Creator handelt.

Der Vorwurf ist schwerwiegend: Die Videospiele-Messe zählt zu den europaweit größten Fach- und Publikumsmessen mit zuletzt 320.000 Besuchern. Am 21. August startet die Gamescom 2024 auf dem Kölner Messegelände – der Ticket-Vorverkauf läuft seit März.

Die Gamescom zählt zu den drei größten Messen in Deutschland 2023 (Stand: 12.12.23)
Die Gamescom zählt zu den drei größten Messen in Deutschland 2023 (Stand: 12.12.23)

Gamescom 2024: Koelnmesse dementiert Sicherheitslücke

Nun hätte man vermuten können, dass sich „das Unternehmen“ mindestens mit einem Blumen-Bouquet und einer Schachtel Pralinés für den freundlichen Hinweis bedankt. Stattdessen flatterte Patrik im Januar eine Vorladung der Staatsanwaltschaft ins Haus – vorgeblich als Zeuge. Im Verlauf der Vernehmung sei die ‚Stimmung‘ dann gekippt: So wurden dem Studenten unter anderem die beruflichen Folgen einer Vorstrafe aufgezeigt.

Aus dem ‚Zeugen‘ war offenkundig ein Beschuldigter geworden, der jetzt die Flucht nach vorn antritt. Er lasse sich nicht unterkriegen – zumal sich der Vorgang persönlich hätte klären lassen, wozu er „gern nach Köln gekommen“ wäre. Der entsprechende X-Thread wurde mittlerweile mehr als 300 Mal weiterverbreitet – eine vierstellige Zahl an Usern hat sich solidarisiert.

In seinem Beitrag schreibt er weiter: „Falls die Kölnmesse GmbH der Meinung ist, dass es der richtige Weg war, Anzeige zum ‚Verdacht auf Computersabotage/-betrug‘ gegen mich zu erstatten und somit jemanden, mit einer an euch direkt gemeldeten Sicherheitslücke, ruhig zu stellen … nicht mit mir.“

Der Vorgang wirft zwangsläufig Fragen auf – zum Beispiel: Wurde das Problem zwischenzeitlich behoben oder bestehen weiterhin Risiken? Ist es zwischenzeitlich zu einem Abfluss und/oder Missbrauch von Datensätzen beziehungsweise Adressdaten gekommen? Und warum geht die Koelnmesse überhaupt juristisch gegen solche Hinweise auf potenzielle Sicherheitslücken vor?

Ein Sprecher der Koelnmesse betont auf Anfrage von GamesWirtschaft: „Der thematisierte Fall ist uns seit vergangenem Jahr bekannt und wurde direkt nach Bekanntwerden behandelt. Es gab und gibt kein Daten-Leak bei der Gamescom. Wir nehmen jede Meldung über potenzielle Sicherheitslücken sehr ernst und überprüfen jeden Verdacht genau. Die Daten der Gamescom-Besuchenden sind sicher.“

GamesWirtschaft hat weitere Stellen um Stellungnahmen gebeten – Update folgt.


Immer freitags, immer kostenlos: Jetzt GamesWirtschaft-Newsletter abonnieren!
GamesWirtschaft auf Social Media: LinkedInFacebookX ● ThreadsBluesky