Skandaljahr 2009: Datenlecks statt Datenschutz

Man muss nicht allzu weit zurück blicken, um auf einen größeren Fall von Datenmissbrauch zu stoßen. Beim Sparkassenverlag (Stuttgart) kam es auf dem Shop-Portal der Deutschen Sparkasse vor wenigen Wochen zu einem Datenleck. Dies sorgte dafür, dass 350.000 Rechnungen von Kunden eingesehen werden konnten. Mit einem vergleichsweise einfachen Trick bekam man als eingeloggter Nutzer Zugang zu den Rechnungen. Der Sparkassenverlag will die Sicherheitslücke eine Stunde nach ihrem Bekanntwerden geschlossen haben.

Um die Rechnungen ausspähen zu können, waren keine Programmierkenntnisse erforderlich. Für die Einsicht musste die Identifikationsnummer über den Weg der eigenen Bestellhistorie geändert werden. Wer ein Zusatzprogramm in einem Internet-Browser nutzte, hatte freie Fahrt auf die Daten anderer Kunden. Die Rechnungen hätten Informationen wie Name, Anschrift, gekauftes Produkt sowie Liefer- und Rechnungsadresse enthalten. Die Sparkassen verkaufen über das Shop-Portal beispielsweise Buchhaltungssoftware oder Anwendungen für die mobile Kontoverwaltung.

Das ist brisanter, als es auf den ersten Blick erscheinen mag. Auf entsprechenden Seiten im Internet kursieren eine Menge Angebote, die Datensätze im 100er-Pack verkaufen. Nicht umsonst gehöre zu den größten Datenskandalen der blühende Handel mit Adressdaten, woher auch immer sie stammen, sagt die Datenschutz-Spezialistin Marit Hansen vom Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein.