Man muss nicht allzu weit zurück blicken, um auf einen größeren Fall von Datenmissbrauch zu stoßen. Beim Sparkassenverlag (Stuttgart) kam es auf dem Shop-Portal der Deutschen Sparkasse vor wenigen Wochen zu einem Datenleck. Dies sorgte dafür, dass 350.000 Rechnungen von Kunden eingesehen werden konnten. Mit einem vergleichsweise einfachen Trick bekam man als eingeloggter Nutzer Zugang zu den Rechnungen. Der Sparkassenverlag will die Sicherheitslücke eine Stunde nach ihrem Bekanntwerden geschlossen haben.
Um die Rechnungen ausspähen zu können, waren keine Programmierkenntnisse erforderlich. Für die Einsicht musste die Identifikationsnummer über den Weg der eigenen Bestellhistorie geändert werden. Wer ein Zusatzprogramm in einem Internet-Browser nutzte, hatte freie Fahrt auf die Daten anderer Kunden. Die Rechnungen hätten Informationen wie Name, Anschrift, gekauftes Produkt sowie Liefer- und Rechnungsadresse enthalten. Die Sparkassen verkaufen über das Shop-Portal beispielsweise Buchhaltungssoftware oder Anwendungen für die mobile Kontoverwaltung.
Das ist brisanter, als es auf den ersten Blick erscheinen mag. Auf entsprechenden Seiten im Internet kursieren eine Menge Angebote, die Datensätze im 100er-Pack verkaufen. Nicht umsonst gehöre zu den größten Datenskandalen der blühende Handel mit Adressdaten, woher auch immer sie stammen, sagt die Datenschutz-Spezialistin Marit Hansen vom Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein.
Kurzer Weg zu Daten der Bundesagentur für Arbeit
Heftig kritisierte in diesem Jahr Deutschlands oberster Datenschützer Peter Schaar die Bundesagentur für Arbeit (BA) und deren Online-Jobbörse. Schaar monierte, Kriminelle könnten an Bewerberdaten gelangen, wenn sie sich als Arbeitgeber ausgeben. So kämen sie an sensible Informationen - und dies eben auch dann, wenn sie gar keine Stelle zu vergeben haben.
Das ist insofern von hohem öffentlichem Interesse, als auf dem Stellenportal der BA im Herbst 2009 rund 3,8 Millionen Bewerberprofile und 600.000 Stellenangebote von etwa 55.000 Arbeitgebern lagerten. Damit ist die Online-Stellenbörse der Bundesagentur für Arbeit die größte in Deutschland und für Datenjäger ein sehr interessanter Fundus. Datenschützer Schaar meint denn auch: "Die Jobbörse lädt zum Missbrauch geradezu ein".
Dabei wird zum Problem, was Beschäftigungsanbahnungen vereinfachen soll: Um sich als potenzieller Arbeitgeber anzudienen, muss nur Firmennamen, Branche, Anschrift und Ansprechpartner angeben werden. Die Bundesagentur wacht nicht über die Identität der Anwerber. Dieser muss auch keine Legitimation vorweisen.
Hat der vermeintliche Arbeitgeber sich angemeldet, erhält er von der BA eine persönliche Identifikationsnummer. Mit dieser ist es bereits möglich, sich Teile von Bewerberdaten anzusehen - in nicht anonymisierter Form. So kommt der Interessierte an persönliche Daten wie etwa Adresse, Telefonnummer, Geburtsdaten, Zeugnisse und Lebenslauf. Diese Form des Datenklaus sei, so Schaar, "mit dem Sozialdatenschutz in keiner Weise vereinbar."
Die Bundesagentur hat allerdings die Forderung des Bundesdatenschützers, "dieses Einfallstor für Datenmissbrauch unverzüglich zu schließen", abgelehnt. Eine Erhöhung der Einstiegsbarrieren für die Jobbörse sei kontraproduktiv, um Arbeitslosen schnell ins Berufsleben zu helfen.
Nicht strafbar: Datenklau bei SchülerVZ
Ganz anders gelagert aber im Prinzip vorhersehbar war der Fall des 20-Jährigen, der sich aus einem sozialen Netz, dem Internet-Netzwerk SchülerVZ in Berlin, bediente und persönliche Daten von angeblich bis zu 1,6 Millionen Nutzern kopiert hatte. Damit wollte er 80.000 Euro von den Betreibern erpressen.
Der junge Mann hatte die Daten über Sicherheitslücken ausgelesen. Darunter befanden sich auch sensible personenbezogene Daten. Die hätten eigentlich nur für Freunde der Mitglieder zugänglich sein sollen.
Bemerkenswert an diesem Datenklau ist, dass sich der Täter mit dieser Form von Datenmissbrauch nicht einmal strafbar gemacht hatte. Denn als Datendiebstahl unter Strafe steht allein, wenn dafür illegal Schutzmaßnahmen ausgehebelt werden. In diesem Fall stand das Tor zum System weit offen. Wie schon im Fall der Bundesagentur waren für den Informationsdiebstahl keine Programmierkenntnisse nötig. Es reichte eine weit verbreitete Software und etwas Kombinationsgeschick. Das Design des Systems habe geradezu dazu eingeladen, Daten abzugreifen, konstatiert die Datenschutz-Spezialistin Hansen. Der 20-Jährige hatte die zum Schutz vor dem Ausspähen genutzten Grafik-Bestandteile, sogenannte Captchas, mühelos auslesen können.
Tragisches Ende des Vorfalls: Der junge Mann beging in Untersuchungshaft Selbstmord.
Sparkassenverlag revisited: Leck bei Libri
Nur wenige Tage nach dem SchülerVZ-Datenklau ging der Reigen der Missbrauchsfälle munter weiter. Über 500.000 Rechnungsdaten von Kunden des Online-Buchhändlers Libri aus Hamburg waren ohne weiteres einsehbar.
Auf der Plattform des Buchhandels-Grossisten Libri ließen sich - wieder ohne Fachexpertise - detaillierte Daten von mehr als 20 000 Kunden auslesen. Zu den Informationen zählten Kundenname, gekaufte Artikel, Art der Zahlung etc. Ironisches Detail: Libri hatte seine Online-Plattform vom TÜV Süd als sicheren Internet-Shop zertifizieren lassen.
Dass solcherlei vermeintliche Vertrauensbeweise kein Garant für sicheres Online-Shopping sind, zeigte eine Untersuchung von "heise security": Danach waren auch andere Websites von Online-Shops gefährdet, obwohl auch sie mit dem vermeintlichen Gütesiegel "Safer-Shopping" warben.
Social Networks: Lizenz zum Datenklau
Die Bundesverbraucherzentrale in Berlin hatte einen Punkt, als sie im Herbst vor Social Networks wie Facebook, Xing und SchülerVZ warnte. Die Daten der dortigen Teilnehmer seien nicht sicher - was der Fall bei SchülerVZ bewies.
Die wachsende Popularität sozialer Netzwerke stellt sie dabei ironischerweise vor große Probleme: Je beliebter und frequentierter sie sind, desto mehr persönliche und sensible Daten finden deshalb auch ihren Weg ins Netz. Und während sich die digitalen Plattformen technisch noch in den Kinderschuhen befänden, stelle die wachsende "Entblößungsgesellschaft" eine zunehmende Herausforderung dar, sagt Hendrik Speck, Informatiker und Professor an der Fachhochschule Kaiserslautern. Hansen will aber bereits ein Umdenken unter Jugendlichen erkannt haben. Vier von fünf jungen Leuten würden zumindest die Datenschutzeinstellungen nutzen - und so dafür sorgen, dass nicht jeder die persönlichen Daten zu sehen bekommt.
Öffentliche Konten: Postbank ouvert
Anders gelagert war der Fall, den die Stiftung Warentest im Herbst 2009 anprangerte. Sie erhob massive Vorwürfe gegen die Postbank in Bonn: Rund 4000 freie Mitarbeiter konnten den Kontostand und sämtliche Kontobewegungen von Postbank-Kunden einsehen. Tausende freier Handelsvertreter hatten detaillierten Einblick in Millionen von Girokonten von Postbank-Kunden. Das Unternehmen wollte durch die so gewährten Informationen den Verkauf ihrer Produkte fördern, schrieb "Finanztest" auf ihrer Homepage. Laut Datenschutzbehörde von Nordrhein-Westfalen ist das allerdings verboten. Nach dem Bericht der Berliner Tester hatte die Postbank verkündet, ihren Finanzberatern den Zugriff auf die Kontodaten sperren zu wollen.
Finanztest schrieb, die Postbank-Vertreter hätten lediglich den Namen und das Geburtsdatum von Kunden in eine Unternehmensdatenbank eingeben müssen. Sie hätten dann nicht nur Einsicht in den Kontostand gehabt, sondern vielmehr in alle Kontobewegungen. Das habe auch gegolten, wenn der Kontoinhaber der Weitergabe seiner Daten an die freien Mitarbeiter nicht zugestimmt hatte. So offen sich die Postbank-Vertreter in den Daten der Kunden tummeln konnte, so verschlossen zeigte sich das Unternehmen gegenüber Finanztest: die Postbank schwieg auf Anfragen der Berliner.
Zu den prominenten Betroffenen der Postbank-Kunden zählten etwa Axel-Springer-Vorstand Mathias Döpfner, der frühere Präsident von Borussia Dortmund, Gerd Niebaum, oder der Vorstand der Stiftung Warentest, Werner Brinkmann. Sie alle hatten der Weitergabe ihrer Daten laut Dateneintrag nicht zugestimmt. Das fast schon wieder Amüsante an dem Skandal: Die Kontodaten einzelner Chefs der Postbank-Gruppe waren nach Recherchen von Finanztest vor dem Blick der Berater abgeriegelt.
Finanzdienstleister AWD: Daten on the road
Nicht erfreut waren vor einigen Monaten auch die Kunden des Finanzdienstleisters AWD aus Hannover. Wie der Sender NDR info schrieb, waren ihm 27.000 Datensätze von AWD-Kunden zugespielt worden. Ihm seien, so die norddeutschen Journalisten, Informationen über Aktienanlagen sowie Namen, Adressen, Geburtstagsdaten, Berufsbezeichnungen etc. via DVD übergeben worden. "Von der einfachen Hausratversicherung bis hin zu Details über Geldanlagen - alles dabei. Insgesamt über 60.000 Vertragsangaben mit AWD liegen NDR Info vor. Wann der Vertrag abgeschlossen wurde, wie lange er läuft und wie viel der Kunde zahlt - alles aufgeschlüsselt in einer langen Excel-Tabelle," schrieb eine Journalistin von NDR Info.
Ein großer Teil der eingesehenen Verträge würde noch laufen, hieß es weiter. Die Hacker hatten so Einblick in Versicherungssummen, Ablaufdaten von Verträgen. Eine kriminell talentierte Klientel könne so genau terminieren, wann sie bei wem vorstellig werden müssen, um Angebote zu machen, das frei werdende Geld wieder anzulegen, sagte seinerzeit der Informant, der nicht erkannt werden wollte, zu NDR Info.
Angeblich, so der Informant weiter, seien ihm die Daten von einem hochrangigen Mitarbeiter des Finanzdienstleisters, einem AWD-Landesdirektor, gegeben worden. Zu Recht wies NDR Info auf eine weitere Perfidie des Vorfalls hin: "Sind Daten erst einmal im Umlauf, kann man sie nicht mehr zurückholen. Sie verbreiten sich völlig unkontrolliert."
Telekom: Löchrig wie ein Schweizer Käse
In Sachen Datenschutz gab es ein Unternehmen, dem man guten Gewissens attestieren konnte, löchrig wie ein Schweizer Käse zu sein: Die Deutsche Telekom.
Vor einem Jahr musste das Bonner Unternehmen eingestehen, dass ihm 17 Millionen Datensätze von Mobilfunkkunden der Telekom-Tochter T-Mobile abhanden gekommen waren, die dann auf dem Schwarzmarkt angeboten wurden. Peinlicherweise geschah dies nur vier Monate, nachdem die Telekom sich wegen einer hausinternen Spitzelaffäre zu rechtfertigen hatte.
Ein Bericht des "Spiegel" brachte an den Tag, dass Journalisten des Magazins bei einem Mainzer Unternehmen Datensätze von mehr als 17 Millionen T-Mobile-Kunden einsehen konnten. Diese stammten "ganz offenbar" aus den Rechenzentren der Telekom-Tochter.
Auch hier waren wieder persönliche Informationen von prominenten Bürgern betroffen. Politiker, Wirtschaftsführer und Kirchenvertreter fanden sich in der Auflistung wieder. Nun ist zwar die Offenlegung privater Daten grundsätzlich ohne Ansehen der Person sehr problematisch. Bei Personen des öffentlichen Interesses kann sich allerdings im Gegensatz zu der imaginären Elvira Mustermann durchaus ein Sicherheitsrisiko ergeben, wenn deren Daten auf dem freien Markt verfügbar sind. Entsprechend hatte das Bundesinnenministerium seinerzeit Gefährdungsanalysen für verschiedene Betroffene durch das Bundeskriminalamt anfertigen lassen.
Besonders irritierend an dem Datenklau war, dass die persönlichen Informationen der Telekom-Tochter bereits zwei Jahre zuvor abhanden gekommen waren, was das Unternehmen auch bei der Staatsanwaltschaft in Bonn angezeigt hatte. Zum damaligen Zeitpunkt war der heutige Konzernchef Rene Obermann noch T-Mobile-Chef. Man habe, sagte ein Telekom-Sprecher, den Vorfall nicht früher an die Öffentlichkeit gebracht, weil man die Ermittlungen nicht behindern wollte.
Für Kriminelle war der Datenklau ein reines Laubhüttenfest: Die Telekom gab an, dass die Datensätze Namen, Anschriften, Mobilfunknummern, in vielen Fällen das Geburtsdatum und in einigen Fällen auch die E-Mail-Adresse enthielten. Zu den widerrechtlich entwendeten Daten gehörten nach Angaben der Telekom jedoch nicht Bankverbindungen, Kreditkartennummern oder Verbindungsdaten. Zudem gingen die Bonner davon aus, dass die Daten im Internet und in Datenbörsen auf dem Schwarzmarkt nicht angeboten wurden. Das zumindest hätten eigene Untersuchungen ergeben.
Daten von Bundesbürgern frei Haus
Ebenfalls Ende 2008 landete die Verbraucherzentrale in Berlin einen Scoop. Sie wollte beweisen, dass der "illegale Datenhandel ein ungeheures Ausmaß" angenommen hat. Deshalb lancierten die Verbraucherschützer ein Scheingeschäft und kauften für 850 Euro die persönlichen Daten von sechs Millionen Bundesbürgern. Geliefert wurden hierbei auch gleich vier Millionen Kontodaten. Der Deal ging innerhalb von zwei Tagen über die Bühne, sagte seinerzeit der Vorstand des Bundesverbandes der Verbraucherzentralen, Gerd Billen. Betroffen waren insbesondere Bürger, die sich an der Süddeutschen und der Nordwestdeutschen Klassenlotterie beteiligt hatten. Informationen waren aber auch aus Handyverträgen und karitativen Spendensammlungen gezogen worden.
Kreditkartendaten im Sonderangebot
Das Muster setzte sich vor genau einem Jahr fort. Mitte Dezember 2008 wurden der Tageszeitung "Frankfurter Rundschau" Daten von Tausenden Kreditkartenkunden der Landesbank Berlin angeboten.
Die Frankfurter Rundschau berichtete, ihr seien von einem anonymen Absender detaillierte Abrechnungen von Kreditkarten mit Adresse, Kontonummer und Überweisungsdaten zugespielt worden. Dazu gehörten sogar Geheimnummern. Einige Datenschützer vertraten die Ansicht, dass diese Causa alle bisherigen Datenskandale in den Schatten gestellt hätten. Da konnte noch niemand wissen, was 2009 alles passieren würde. (mje)
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche.