Supergau in Sachen Datenschutz

[Bildunterschrift: Panne bei Softwarefirma: Bürgerdaten frei zugänglich im Netz? ]
Es ist der Mega-Gau für die Datensicherheit in Deutschland. Nach Recherchen von Report München war in vielen deutschen Einwohnermeldeämtern der Zugriff auf sensible Daten problemlos möglich. Persönliche Daten konnten abgerufen, verschickt oder extern gespeichert werden, ohne dass die Betroffenen oder die zuständigen Ämter davon wussten.

Ein nicht autorisierter Online-Zugriff auf sensible Bürgerdaten war nach Report München Informationen bei fünf Kommunen bis vergangenen Freitag problemlos möglich. Der Marktführer für kommunale Behördensoftware hatte Benutzername und Passwort auf der unternehmenseigenen Homepage abgebildet. Unbefugte gelangten ohne Überprüfung der Zugangsberechtigung zu Reisepass- und Personalausweisnummern, Fotos, Geburtsdaten, aktuellen und früheren Wohnorten sowie Finanzdaten. Sogar die Religionszugehörigkeit lieferten die Gemeinden gleich Online mit. Bei zufällig eingegebenen Straßennamen erschienen alle dort wohnhaften Bürger. Dr. Matthias Rosche vom führenden Beratungsspezialisten für Informationssicherheit Integralis bei München, hält diesen Sicherheitsmangel für einen Supergau in Sachen Datenschutz. "Das ist ungefähr das Schlimmste, was passieren kann. Ich habe de facto die Daten öffentlich ins Netz gestellt. Das ist grob fahrlässig und einfach völlig inakzeptabel", erklärt Rosche.

Schwachstellen bereits ausgenutzt?

Nach Konfrontation des Softwareherstellers, die 1991 gegründete Firma HSH aus Ahrensfelde im Osten von Berlin, räumte Geschäftsführer Stephan Hauber die Sicherheitslücke ein und versicherte im Interview mit Report München: "Die Passworte werden noch heute verschwinden, das ist ganz klar. Unabhängig davon werden wir auch noch mal unsere Kunden informieren, dass sie selbstverständlich ihre Passworte ändern müssen", verspricht er. Er hoffe, so Hauber, dass die 200 Gemeinden, die diese Software nutzen und ihre Zugangsdaten nach Installation der Software nicht geändert hatten, dieser Aufforderung sofort nachkommen würden. Die kommunale Software ist seit rund drei Jahren im Einsatz. Warum die Daten überhaupt auf der Homepage des Unternehmens einsehbar waren, konnte er nicht erklären.

Die Landesbeauftragte für den Datenschutz Brandenburg, Dagmar Hartge, ist der Meinung, dass die Kommunen hier grob fahrlässig gehandelt haben, weil sie das Passwort nicht umgehend geändert hatten. Seit Report München vergangenen Freitag betroffene Gemeinden, Datenschützer und die Herstellerfirma der Software über das gravierende Sicherheitsloch informiert hat, ist das Problem jedoch nicht vom Tisch warnt Michael Müller von der Firma Integralis: "Es kann nicht davon ausgegangen werden, dass nicht doch jemand darauf zugegriffen hat bereits mit diesen Userdaten. Das heißt die Integrität des Datenbestandes für die Anmeldedaten ist nicht mehr gewährleistet. Es besteht also grundsätzlich die Möglichkeit, dass diese Schwachstelle bereist ausgenutzt hat und sich dort entsprechende Hintertürchen als Benutzerdaten eingebaut hat."

Neuer Geschäftszweig: "Identitätsklau"

Ein Zugriff auf Bürgerdaten aus dem Internetcafé könnte deshalb weiter möglich sein. Seit rund drei Jahren arbeiten die Gemeinden schon mit dieser Software. Dass Kriminelle nicht längst Bürgerdaten absaugen, darauf sollten sich die Verantwortlichen lieber nicht verlassen. Alexander Gerken vom Bayerischen Landeskriminalamt in München warnt man vor dem neuen Geschäftszweig der organisierten Kriminalität, dem so genannten "Identitätsklau". "Im Grunde ist es so, dass jede Straftat, die in Richtung organisierte Kriminalität oder Bandenkriminalität geht, falsche Dokumente braucht, eben zum Zweck, dass man sich unbehelligt hier im Land oder in der EU bewegen kann." Und das, so betont Gerken, das gelte auch für den Terrorismus.