Jeder kann sensible Daten googeln
Dieser Artikel ist älter als ein Jahr!
Polizisten-Daten, persönliche Informationen von Versicherten, Zugansdaten zu Datenbanken von Schulärzten, E-Mail-Verkehr von Ministeriumsmitarbeitern – die Hackergruppe Anonymous Austria hat in den vergangenen Tagen Unmengen solcher Daten erbeutet und teilweise im Netz verbreitet. Das Schockierende daran: Um an die Informationen zu gelangen, war kein einziger Hack notwendig, die Daten wurden der Gruppe entweder zugespielt oder waren – was Datenschützern besonders zu denken gibt – kinderleicht mittels Google-Suche auffindbar.
Fahrlässiger Umgang mit Daten
Zwar ist die Vorgangsweise der Hacker per se nicht gutzuheißen, speziell wenn wie im Fall der Polizisten-Daten private Informationen verbreitet werden, doch zeigen die Aktionen eines ganz deutlich: Wie fahrlässig bei heimischen Behörden mit den Daten der Bürger umgegangen wird. „Namen, Adressen, Sozialversicherungsnummern, E-Mails, Logindaten, ... Das alles findet man durch eine einfache Suche bei Google“, schrieb AnonAustria am Mittwochabend über den Internetdienst Twitter und verlinkte auf entsprechende Dokumente, die zum Teil aus dem Umfeld des Innenministeriums stammten.
Stellungnahme aus dem Ministerium
Die Daten waren zum Großteil zwar nicht besonders
Auch der niederösterreichische Landesschulrat hat sich nun auf die Suche nach Sicherheitslücken begeben. "Die Techniker schauen sich das jetzt noch einmal genau an", heißt es. Auch die Zugangsdaten habe man mittlerweile geändert. Die Hacker hatten Logins zu einem Programm gefunden, mit dem Schulärzte Informationen über Schüler verwalten können. In dem betreffenden Dokument waren zwar keine Daten enthalten. Allerdings wird dasselbe Programm bundesweit eingesetzt. Es wäre daher auch möglich gewesen, andernorts auf Dokumente mit Daten zu stoßen. "Die dann allerdings anonymisiert wären", wie der niederösterreichische Landesschulrat versichert.
Kritik
Auch Datenschützer Hans Zeger kann bestätigen, wie nachlässig oft mit sensiblen Daten umgegangen wird. Durch die Google-Suche lasse sich so manches entdecken. „Wir sind etwa auf die Webseite eines Arztes gestoßen, bei der man mit wenigen Schritten auch in den internen Bereich gelangen konnte“, sagt Zeger. Obwohl man den Arzt darauf hingewiesen habe, sei dieselbe Sicherheitslücke sechs Monate später noch immer zu finden gewesen.
Kritische Worte kommen heute auch von den Grünen. „Ich bin schockiert über den leichtfertigen Umgang mit persönlichen Daten im Gesundheitsbereich“, zeigt sich der Grüne Landtagsabgeordnete Gebi Mair vom Datenleck in der Tiroler Gebietskrankenkasse betroffen. „Zwei Jahre, nachdem wir aufzeigen mussten, dass Daten des Warn- und Alarmierungssystems der Leitstelle Tirol unverschlüsselt und für alle einsehbar gesendet werden, hat man offenbar immer noch nichts dazugelernt.“
TGKK bittet Hacker um Mithilfe
Bei der Suche nach dem Datenleck bei der Tiroler Gebietskrankenkasse tappen die Ermittler indes weiter im Dunklen. „Definitiv klar ist inzwischen, dass die Schwachstelle extern bei einem unserer Vertragspartner liegen muss“, sagt Michael Huber, Obmann der TGKK, im Gespräch mit der futurezone. Wo genau sich das Leck befunden hat, darüber gebe es noch keinen Aufschluss.
„Das Problem ist ja, dass wir von den Hackern keine dieser Datensätze erhalten haben, denn wenn wir sie hätten, wäre auch die Suche nach dem Leck einfacher“, sagt Huber und bittet AnonAustria damit gar indirekt um Mithilfe bei den Ermittlungen. Die Datenweitergabe an externe Stellen wie Krankenhäuser oder Rettungsdienste liegt weiter auf Eis. Künftig soll es Maßnahmen geben, dass soetwas nicht mehr geschieht. „Wir denken über ein verschlüsseltes System nach, über das auf die Daten zugegriffen werden kann."
Kommentare