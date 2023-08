Auktionshaus

Das britische Auktionshaus Christie’s geht fahrlässig mit den privaten Informationen seiner Kundschaft um, zeigen IT-Sicherheitsforscher.

Wer Kunst über ein Aktionshaus verkaufen möchte, hat oft ein hohes Bedürfnis nach Anonymität. Die Gründe können vielfältig sein. Manche Verkäuferinnen und Verkäufer haben ein hohes Sicherheitsbedürfnis und wollen Dieben und Einbrecherinnen keinen Anhaltspunkt über ihren Besitz liefern. Andere schämen sich, dass sie ein Kunstwerk verkaufen müssen, wenn finanzielle Not dahintersteht. Nicht zuletzt nutzen einige schwarze Schafe den Kunstmarkt für Geldwäsche und andere krumme Geschäfte.

Ein etabliertes Kunsthaus wie Christie’s sollte in der Lage sein, die nötige Diskretion herzustellen. Immerhin gilt es als eines der traditionsreichsten Auktionshäuser und war 2022 auch das mit dem größten Jahresumsatz. Doch weit gefehlt: Die zwei IT-Sicherheitsforscher André Zilch und Martin Tschirsich haben in einem Online-Angebot des Auktionshauses eine gravierende Sicherheitslücke entdeckt. Wer einen Gegenstand oder ein Kunstwerk schätzen lassen wollte, um es über Christie’s zu verkaufen, musste zunächst online Fotos des Gegenstandes mitsamt einer Beschreibung hochladen. Wie die beiden Forscher in einem Blogeintrag beschreiben, war es aber ohne fortgeschrittene Computerkenntnisse theoretisch jeder beliebigen Person möglich, die Bilder potenzieller Verkäuferinnen und Verkäufer wieder herunterzuladen.

Die Koordinaten des Ortes

Um die Sicherheitslücke auszunutzen, brauchten potenzielle Angreiferinnen und Angreifer demnach zwar die genaue Webadresse der hochgeladenen Fotos. Da diese aber für alle Aufnahmen nach demselben Schema aufgebaut sei, habe ein Computerprogramm in wenigen Sekunden alle möglichen Kombinationen von Webadressen ausprobieren und die zugehörigen Fotos herunterladen können. Nun geben die Fotos alleine noch keine Auskunft über den Verkäufer oder die Verkäuferin. Doch Christie’s löschte die sogenannten Metadaten der Fotos nicht, in denen oftmals die genauen Koordinaten des Ortes enthalten sind, an dem die Aufnahme entstanden ist. Aus diesen Informationen lassen sich in vielen Fällen genaue Adressen und so die Identitäten der verkaufenden Personen ableiten. Die Fotos selbst könnten interessierten Langfingern Hinweise auf die Sicherung der Objekte liefern.

Geradezu eine Einladung für Kunstdiebstahl. Noch schwerer wiegt nach Ansicht der Sicherheitsforscher die Reaktion des Auktionshauses, als dieses über die Sicherheitslücke informiert wurde. Man brauche keine Ratschläge oder Hilfe, hieß es lapidar. Auch eine Frist, die die Forscher dem Auktionshaus gestellt haben – ein übliches Vorgehen, wenn Hacker:innen Sicherheitslücken entdecken –, ließ man verstreichen. Erst nach einer Presseanfrage des Nachrichtenmagazins „Spiegel“ seien die Verantwortlichen tätig geworden und hätten die Sicherheitslücke geschlossen.