Heiko Frenzel

Heiko Frenzel (* 11. November 1987 in Erding, Bayern), in der Hackerszene auch bekannt als sToRm//, ist ein deutscher Unternehmer, Web- und Softwareentwickler, IT-Berater und IT-Sicherheitsexperte. Er wurde durch zahlreiche Medienberichte und Veröffentlichungen über die von ihm aufgedeckten Sicherheitslücken bekannt.

Heiko Frenzel (2021)

Leben

Frenzel wuchs in Bayern auf und war schon als Kind sehr an Computern und Technik interessiert. Im Jahr 2005 gründete er sein erstes IT-Unternehmen und ist seitdem Geschäftsmann.^[1] Er beschäftigt sich seit vielen Jahren mit Cybersecurity, deckte zahlreiche Sicherheitslücken auf und half den Betroffenen bei der Beseitigung. Dazu gehören – neben Privatleuten, kleinen Unternehmen und Entwicklern von Software und Webanwendungen – auch Behörden, Regierungen, Banken, Militärs und große Konzerne. Frenzel wurde durch zahlreiche Medienberichte^[2] zu den von ihm aufgedeckten Sicherheitslücken bekannt und sorgte mit seinen Entdeckungen immer wieder für Aufsehen.

Unternehmen

Seit 2005 ist Frenzel als Unternehmer in der IT-Branche tätig. Er führt mehrere Unternehmen in verschiedenen Branchen. Diese beschäftigen sich hauptsächlich mit der Betreuung von Web- und Softwareprojekten sowie mit der Beratung zu IT-Angelegenheiten. Aufgrund seiner Fähigkeiten als Hacker, ist Frenzel auch als externer IT-Sicherheitsberater für Regierungen tätig.

Bekannte Ereignisse

Sicherheitslücken bei der Europäischen Kommission

Im September 2011 meldete Frenzel der Europäischen Kommission 40 kritische Sicherheitslücken. Davon waren mehrere Webseiten und Server der EU-Regierung betroffen. Aufgrund der Brisanz und der uninteressierten Haltung der Betroffenen führte die Angelegenheit zu öffentlichen Diskussionen und auch politischen Interventionen.^[3]

Schwachstellen bei Zynga

Frenzel hatte im Jahr 2011 auf Sicherheitsmängel beim Anbieter Zynga hingewiesen,^[4] die eine potenzielle Gefahr für hunderte Millionen aktiver Nutzer darstellten. Das Bürger-CERT des Bundesamts für Sicherheit in der Informationstechnik veröffentlichte hierzu eine Meldung^[5] in ihrem Newsletter.

Aufdeckung unlauterer Praktiken bei der Datingplattform LOVOO

Im September 2015 erschienen im Computermagazin c’t und auf der Nachrichten-Website Heise online umfangreiche Artikel zu möglichen unlauteren Praktiken durch den Betreiber der Datingplattform LOVOO. Ursprung der damaligen Recherchen war ein von Frenzel veröffentlichter Artikel mit dem Titel "Lovoo – Wie man gezielt manipuliert wird^[6]". Ein Leser des Artikels wandte sich an Frenzel, sowie an das Computermagazin und spielte ihnen über 50 Gigabyte Daten aus E-Mail-Postfächern, Screenshots und Quellcode-Ausschnitte zu, die darauf hindeuteten, dass durch die Betreiber von LOVOO, gezielt und automatisiert Profile mit erfundenen weiblichen Personen erstellt wurden, die anschließend programmgesteuert echten Nutzern Interesse vorgaben und sie animierten, gegen eine Gebühr den Kontakt herzustellen. Frenzel entschied sich für eine Zusammenarbeit mit dem Computermagazin und war intensiv an den Recherchen beteiligt. Die damalige Veröffentlichung des von Heiko Frenzel, Holger Bleich, Ronald Eikenberg und Torsten Kleinz gemeinsam verfassten Artikels^[7] sorgte für hohes Aufsehen und viele Reaktionen, sowie zu einer großangelegten Razzia mit anschließenden Verhaftungen, bei den Betreibern der Datingplattform^[8]. Bei einem Interview^[9] durch MDR Sputnik, schilderte Frenzel ein paar Details zu den damaligen Recherchen.

Sony Xperia DRM-Hack

Im Oktober 2017 gewann Frenzel in der "Android-Szene" an Bekanntheit. Ihm gelang ein Hack des DRM-Systems in Sony Xperia Smartphones, bei dem die Funktionen zur Überprüfung der Gerätesicherheit ausgehebelt werden konnten. Dies ermöglichte ein Umgehen der Limitierungen, die durch das Rooten der Geräte eigentlich entstehen würden. In einem Entwickler-Forum präsentierte er ein Tool^[10] das die Firmware der Geräte entsprechend modifizieren konnte.

Datenschutz bei der Stopp-Corona-App

In der österreichischen Tageszeitung "Zack Zack" erschien im April 2020 ein Interview^[11] mit Frenzel, in dem man ihn zu seinen Einschätzung in Bezug auf den Datenschutz bei der "UNIQA-App" befragte. Frenzel hatte die in Österreich bekannte "Stopp-Corona-App" von UNIQA zuvor mittels Reverse Engineering analysiert und aufgrund seiner Aufdeckungen, den mangelnden Datenschutz kritisiert^[12]. Dies führte in Österreich zu zahlreichen Diskussionen und nahm zudem Einfluss auf die Weiterentwicklungen der App.

Kritische Sicherheitslücken bei der CSU-Landtagsfraktion

Im November 2020 berichteten die Deutsche Presse-Agentur und zahlreiche Nachrichten-Webseiten, sowie Zeitungen^[13] über Frenzel, nachdem er in seinem Blog einen Artikel^[14] über kritische Sicherheitslücken bei der CSU-Landtagsfraktion veröffentlichte. Frenzel hatte auf dem Webserver der CSU-Landtagsfraktion mehrere offen klaffende und zum Teil sehr kritische Sicherheitslücken entdeckt. Er habe dadurch auf mehr als 800 Zugangsdaten^[15] von CSU-Politikern, Mitarbeitern und anderen Nutzern zugreifen können. Darunter seien rund 300 Zugangsdaten für das Intranet der CSU-Fraktion, sowie Zugangsdaten zu E-Mail-Postfächern von Abgeordneten^[16] gewesen. Die CSU-Fraktion bestätigte auf Medienanfrage, dass sie von Frenzel auf Sicherheitslücken der Website und des Intranet-Angebots aufmerksam gemacht worden sei.

Sicherheitslücken bei diversen Regierungssystemen

Frenzel veröffentlichte in den Monaten darauf mehrere Artikel in seinem Blog, in denen er über eine Vielzahl an Sicherheitslücken auf Webseiten und Servern der Bayerischen Staatsregierung, sowie der Bundesregierung berichtete. Er fand demnach Sicherheitslücken beim Bundesministerium für Gesundheit^[17], dem Bundesamt für Kartographie und Geodäsie^[18], dem Bayerischen Landesamt für Digitalisierung^[19], dem Bayerischen Staatsministerium für Gesundheit^[20], sowie dem Staatsministerium für Digitales^[21].

Kritische Schwachstellen bei "Corona-Testzentren"

Im Dezember 2020 stieß Frenzel auf mehrere Sicherheitslücken bei sogenannten "Corona-Testzentren". Laut Veröffentlichung in seinem Blog^[22] und Artikeln von anderen Medien^[23] ermöglichten die Schwachstellen den Zugriff auf Administrationsbereiche der Testzentren, sowie auf Millionen dort abgelegter Datensätze, darunter auch Patientendaten.

Privatleben

Frenzel ist Atheist, liiert und hat einen Sohn.

Weblinks

Heiko Frenzel – Persönliche Website

Einzelnachweise

1. Über mich. In: heiko-frenzel.de. Abgerufen am 21. Mai 2021. 
2. Referenzen. In: heiko-frenzel.de. Abgerufen am 21. Mai 2021. 
3. H.P. Martin über Hackerangriff auf EU-Parlament: „Kette von Datenskandalen – EU-Parlamentsverwaltung schaut weg“. Abgerufen am 21. Mai 2021. 
4. Bericht: Sicherheitslücken bei Zynga. In: Golem.de: IT-News für Profis. Abgerufen am 21. Mai 2021. 
5. Spiel mit dem Datenschutz: Sicherheitslücken bei Browsergame-Anbieter Zynga. Bürger-CERT, 15. September 2011, archiviert vom Original am 20. Juni 2013; abgerufen am 21. Mai 2021.   Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.buerger-cert.de 
6. Lovoo - Wie man gezielt manipuliert wird. Abgerufen am 21. Mai 2021. 
7. Holger Bleich, Ronald Eikenberg, Heiko Frenzel, Torsten Kleinz: Dating-Plattform Lovoo im Fake-Verdacht. Abgerufen am 21. Mai 2021. 
8. DER SPIEGEL: Lovoo: Razzia in 16 Wohnungen und Firmenräumen, zwei Festnahmen. Abgerufen am 21. Mai 2021. 
9. Großrazzia bei LOVOO - Maschinengewehre, Rammbock und Festnahmen. 7. Juni 2016, abgerufen am 21. Mai 2021 (deutsch). 
10. [HACK+MOD] Sony Xperia XZ Premium TWRP + KERNEL + ROOT + DRM fix/restore. In: forum.xda-developers.com. 26. Oktober 2017, abgerufen am 21. Mai 2021 (amerikanisches Englisch). 
11. Interview mit IT-Experte Heiko Frenzel - Klartext zu Uniqa-App. In: zackzack.at. Abgerufen am 21. Mai 2021 (deutsch). 
12. Die „Stopp Corona“ App des ÖRK: Analyse enthüllt illegale Datenerfassung und Irreführung. 10. April 2020, abgerufen am 21. Mai 2021 (deutsch). 
13. Datenpanne bei Landtags-CSU. In: Abendzeitung. Abgerufen am 21. Mai 2021. 
14. CSU Hack birgt 800+ Zugangsdaten - Bayerische Regierung stopft historische Sicherheitslücken. 2. November 2020, abgerufen am 21. Mai 2021. 
15. Sicherheitslücke: 800 Zugangsdaten waren auf CSU-Webserver auslesbar. In: Golem.de: IT-News für Profis. Abgerufen am 21. Mai 2021. 
16. FOCUS Online: Hunderte Daten von Politikern offen zugänglich: Sicherheitslücke bei CSU entdeckt. Abgerufen am 21. Mai 2021. 
17. Hacked: Bundesministerium für Gesundheit (BMG) beseitigt Sicherheitslücke in "Vorzeigeprojekt". 12. November 2020, abgerufen am 21. Mai 2021 (deutsch). 
18. Sicherheitslücken beim Bund - Bundesamt für Kartographie und Geodäsie (BKG) nimmt Website offline. 9. November 2020, abgerufen am 21. Mai 2021 (deutsch). 
19. IT-Sec: Das bayerische Landesamt für Digitalisierung beseitigt Schwachstelle. 5. November 2020, abgerufen am 21. Mai 2021 (deutsch). 
20. Kritische Sicherheitslücken - Bayerisches Staatsministerium für Gesundheit und Pflege (StMGP) reagiert auf Sicherheitswarnung. 24. Januar 2021, abgerufen am 21. Mai 2021 (deutsch). 
21. Staatsministerium für Digitales - Datenleck erlaubt Zugriff auf über 223.000 Datensätze. 30. Januar 2021, abgerufen am 21. Mai 2021 (deutsch). 
22. Kritische Sicherheitslücken in "Corona-Testzentren" ermöglichen Zugriff auf hunderttausende Patientendaten. 23. Dezember 2020, abgerufen am 21. Mai 2021 (deutsch). 
23. Lars Sobiraj: Corona-Testzentren voller Sicherheitslücken: Millionen Daten in Gefahr. 24. Dezember 2020, abgerufen am 21. Mai 2021.