Altsysteme waren weit offen

Ein Immobilienverwaltungsunternehmen entdeckte, dass Altsysteme mit 8 Jahren an Mieterdaten öffentlich zugänglich waren. Sehen Sie, was die Bewertung von Discovero aufdeckte.

Buchen Sie Ihr Assessment

Die Herausforderung

Womit wir konfrontiert waren

Ein mitteleuropäisches Immobilienverwaltungsunternehmen, das Wohn- und Gewerbeimmobilien verwaltet, beauftragte Discovero mit seiner ersten externen Sicherheitsbewertung. Das Unternehmen bereitete sich auf die ISO 27001-Zertifizierung vor und benötigte dokumentierte Nachweise des Schwachstellenmanagements.

Die IT-Infrastruktur war über ein Jahrzehnt organisch gewachsen, mit mehreren Immobilienverwaltungssystemen, Mieterportalen und internen Tools, die durch Unternehmensfusionen hinzugekommen waren.

Was Discovero fand

Bewertungsergebnisse

20+

caseStudies.property.metrics.

Wichtigste Befunde

Exponiertes Altsystem der Immobilienverwaltung (CVSS 8.6)

Eine alte Immobilienverwaltungsanwendung (außer Betrieb genommen 2021) war noch aktiv und öffentlich erreichbar. Sie enthielt personenbezogene Mieterdaten einschließlich Namen, Adressen, Telefonnummern und Mietverträge bis zurück ins Jahr 2016. Die Anwendung verwendete Standard-Zugangsdaten für den Admin-Zugang.

SQL-Injection im Mieterportal (CVSS 8.1)

Das aktuelle Mieter-Self-Service-Portal war über die Passwort-Zurücksetzen-Funktion des Anmeldeformulars anfällig für SQL-Injection. Dies hätte einem Angreifer ermöglicht, die gesamte Mieterdatenbank einschließlich personenbezogener Daten und Zahlungsinformationen zu extrahieren.

Unverschlüsselte E-Mail-Dienste (CVSS 6.8)

Der Mailserver des Unternehmens akzeptierte Verbindungen über unverschlüsselte IMAP- und POP3-Protokolle. Mieterkommunikation, Wartungsanfragen und interne E-Mails der Immobilienverwaltung wurden im Klartext übertragen.

Debug-Endpunkte legen Konfiguration offen (CVSS 5.5)

Eine Next.js-Anwendung hatte Entwicklungs-Debug-Endpunkte, die in der Produktion zugänglich waren und Umgebungsvariablen einschließlich Datenbank-Verbindungsstrings und API-Schlüssel für Drittanbieter-Immobilienportale offenlegten.

Die Auswirkung

Was hätte passieren können

Szenario	Geschätzte Auswirkung
DSGVO-Meldung einer Datenschutzverletzung + Bußgelder	EUR 100.000 – 500.000
Diebstahl von Mieterdaten + Klagen	EUR 200.000 – 1.000.000
Reputationsschaden + Mieterfluktuation	EUR 150.000 – 400.000
Discovero-Bewertung	EUR 2.900

Allein die Exposition des Altsystems hätte eine verpflichtende DSGVO-Meldung einer Datenschutzverletzung auslösen können — mit Auswirkungen auf Hunderte aktuelle und ehemalige Mieter.

Das Ergebnis

Was unternommen wurde

Das alte Immobilienverwaltungssystem wurde sofort vom Netz genommen und seine Daten sicher migriert.
Die SQL-Injection im Mieterportal wurde innerhalb von 48 Stunden behoben.
E-Mail-Dienste wurden so konfiguriert, dass TLS-Verschlüsselung erzwungen wird.
Debug-Endpunkte wurden aus dem Produktions-Deployment entfernt.
Der Bewertungsbericht wurde direkt als Nachweis für das ISO 27001-Zertifizierungsaudit verwendet.

Kernaussage

Wenn Unternehmen durch Fusionen wachsen, werden alte Systeme vergessen, aber nicht außer Betrieb genommen. Dieses Immobilienunternehmen hatte 8 Jahre Mieterdaten auf einem öffentlich zugänglichen Server mit Standard-Zugangsdaten.

Möchten Sie wissen, was sich in
Ihrer Angriffsfläche verbirgt?

Keine Agenten. Keine Zugangsdaten. Nur Ihre Domain. Erste Ergebnisse in 48 Stunden.

Kostenlose Beratung buchen Preise ansehen