In den Tiefen der digitalen Welt sind Sicherheitslücken keine Seltenheit, doch was Patrik, bekannt unter dem Twitter-Namen apex_1337, berichtet, könnte ernsthafte Konsequenzen für die Teilnehmer der gamescom 2024 haben. Schon im Juli 2023 stieß Patrik durch Zufall auf eine mögliche Sicherheitslücke, die ihm Zugriff auf Daten anderer Nutzer gewährte. Sein Hintergrund im Bereich der IT-Sicherheit, den er akademisch verfolgt, machte es ihm möglich, gemäß Responsible Disclosure, diese Unregelmäßigkeit schnell zu identifizieren und zu melden.
Trotz seiner sofortigen Meldung an die zuständigen Stellen, blieb eine substantielle Rückmeldung über Wochen aus. Auch wiederholte telefonische Nachfragen führten lediglich zu Vertröstungen. Auf der gamescom Career Area, suchte er den Kontakt mit Vertretern des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Diese rieten ihm, die Sicherheitslücke offiziell über ihre Kanäle zu melden.
Zu Beginn des Jahres 2024 wurde Patrik schließlich als Zeuge in einem Polizeiverfahren vorgeladen, das sich mit einem Vorfall beschäftigte, bei dem die Server der gamescom durch die Aktivitäten einer einzigen IP-Adresse lahmgelegt wurden, was erhebliche Kosten verursachte. Über die spezifischen Details dieser Sicherheitslücke hat Patrik öffentlich geschwiegen, doch unsere Recherche zeigt, dass der Vorfall durchaus Plausibilität besitzt.
Ein besonders besorgniserregender Aspekt ist, dass weder auf der Website der Koelnmesse noch auf der offiziellen gamescom-Seite ein “security.txt” Eintrag existiert – ein Standard, der es Sicherheitsforschern erleichtert, Schwachstellen verantwortungsbewusst zu melden.
Weitere Kommunikationsschwierigkeiten
Ein weiteres Problem, das in den sozialen Medien immer wieder zur Sprache kommt, unabhängig von der Sicherheitslücke, sind die anhaltenden Schwierigkeiten bei der Bekämpfung des Schwarzmarktes und der illegalen Beschaffung für gamescom-Tickets, durch Falschangaben und andere Optionen. Einige Twitter-Nutzer berichten, dass es seit Jahren einen etablierten Verkäufer gibt, gegen den kaum vorgegangen wird. Durch die neu eingeführte Pflicht zur Vorlage des Personalausweises bei Creators und die Möglichkeit, sich Tickets zu erschleichen, könnte sich die Situation verschärfen, falls sich die Sicherheitslücke als wahr herausstellt. Einen ähnlichen Vorfall gab es schon bei der ESA zur E3 2019, in der zahlreiche private Informationen von Journalisten geleaked wurden.
Stellungsnahmen der entsprechenden Stellen
Wir haben sowohl die Koelnmesse, das BSI, sowie auch den Game Verband um eine Stellungnahme gebeten, um weitere Einblicke in die Angelegenheit zu erhalten und zu erfahren, welche Maßnahmen ergriffen werden, um die Daten der Besucher und Teilnehmer zu schützen. Die Antwort steht noch aus, aber die Wichtigkeit einer transparenten und schnellen Reaktion auf solche Vorfälle kann nicht hoch genug eingeschätzt werden.
Anmerkung der Redaktion:
Die Kölnmesse könnte auf RFID-basierte Tickets umstellen, die bei Verlust oder Diebstahl schnell deaktiviert werden können, um Missbrauch zu verhindern. Dies würde nicht nur das Auffinden und die unbefugte Nutzung verlorener Tickets erschweren, sondern auch die Sicherheit für Aussteller, Dienstleister, Pressevertreter und Creators erheblich erhöhen.
Update: Wir haben die Stellen fälschlicherweise den Begriff Datenleak verwendet. Entsprechende Stellen wurden korrigiert und Sicherheitslücken ausgetauscht. Ebenso haben wir die die Kommunikationsschwierigkeiten noch einmal deutlich vom eigentlichen Problem getrennt.