Auf der Webseite des größten Automobilclubs Deutschlands ADAC können unbefugte Dritte die Passwörter für den Online-Zugang der Mitglieder ändern. Voraussetzung dafür ist, dass Angreifer eine fremde ADAC-Karte in ihren Besitz gebracht oder sich die darauf aufgedruckten Daten (Name, Mitgliedsnummer und Beitrittsjahr) notiert haben.

Der Knackpunkt an der Sache: Für die Funktion "Passwort ändern" ist auf der ADAC-Webseite keine Eingabe eines bestehenden Passworts, einer E-Mail-Adresse oder eine sonstige Überprüfung der Identität des Besuchers vorgesehen. Nach Eingabe eines neuen Kennwortes ist der Angreifer online angemeldet und kann so bereits die im Menüpunkt "Mein ADAC" gespeicherte Daten wie Anschrift und Telefonnummer des ADAC-Mitgliedes abrufen.

Unsichere Methode: Wer im Besitz der ADAC-Karte eines Mitgliedes ist, kann das Online-Passwort ändern.

Hat der Karteninhaber im Online-Bereich auch eine Kontonummer gespeichert, dann ermöglicht der Webshop über ein Optionsfeld "Per Bankeinzug bezahlen, meine Daten sind bekannt" eine Bestellung. Andernfalls trägt der Angreifer eine fiktive Kontoverbindung ein. Deren Daten werden offensichtlich nicht überprüft, und die Bestellung kommt, wie ein Selbstversuch zeigt, innerhalb weniger Tage an.

Indem ein Betrüger eine alternative Lieferadresse einträgt, ist ihm auch möglich, sich Artikel auf fremde Rechnung zu erschleichen. Das ADAC-Mitglied erhält dabei nur eine postalische Benachrichtigung über eine fehlende Einzugsermächtigung, die aber keinen Hinweis auf eine Online-Bestellung enthält.

Die Adresse des Mitgliedes auslesen und die Lieferadresse ändern. Die Kontodaten sind ja bekannt. Kann hier ein Angreifer auf fremde Rechnung Waren bestellen?

Linux-Magazin Online hat den ADAC nach einer Stellungnahme gefragt und vom Stellvertretenden Leiter für Externe Kommunikation Roman Breindl, auch zuständig für den Online-Auftritt, folgende Antwort erhalten:

"Das Problem stellt unserer Meinung nach nur eine theoretische Lücke dar. Im Gegensatz zu etwa EC- oder Kreditkarten-Anbietern ist der ADAC kein Ziel von derartigen kriminellen Angriffen. Zudem ist der mögliche anrichtbare Schaden nicht mit dem bei etwa Kreditkarten vergleichbar. Unseren Mitgliedern ist bewusst, dass die Mitgliedskarte wertvoll ist und nicht im Auto liegen gelassen werden sollte. Wir kennen das Problem, betrachten es aber nicht als gravierend. Schon die Tatsache, dass von den über 16 Millionen ADAC-Mitgliedern jedes Jahr maximal vier Hinweise darauf bei uns eingehen, zeigt uns, dass das Problem übersichtlich ist. Adress- oder Bankdaten finden Sie ja heute auch auf jedem Briefkopf.

Der Schaden, der Ihnen durch diese Daten, die auf einem Zettel vermerkte EC-Geheimnummer im gestohlenen Geldbeutel oder das Ausnutzen eines fremden,
Bluetooth-fähigen Telefons entstehen können, sind spürbar größer und realer, als die Risiken beim vorsätzlichen Missbrauch der ADAC-Mitgliedsnummer.

Der ADAC nimmt natürlich seine Mitglieder in Schutz. Sollte jemand auf der ADAC.de das Opfer eines Online-Betrügers werden, wird ihm kein Schaden entstehen, sondern wir stornieren die unfreiwilligen Bestellungen. Und im Zuge eines weiteren Ausbaus unseres Online-Angebotes, wo die Benutzer mehr Funktionen erhalten, sind auch andere Shop-Systeme geplant. Können weitere Daten geändert werden, steigen auch die Sicherheitsvorkehrungen, um das zu verhindern."

Auf die Frage, ob auch die Kontodaten auslesbar sind und ob es tatsächlich Fälle gab, in denen übelmeinende Angreifer erfolgreich auf fremde Rechnung Waren bestellt hatten, konnte der ADAC-Sprecher keine Angaben machen. Es fänden jedoch zahlreiche Prüfungen statt, bevor Online-Bestellungen abgewickelt werden, ließ er wissen.