Sicherheitslücken im Netz: Datenpannen und kein Ende?

Was ist bei der BA das Problem?

Die Bundesagentur für Arbeit in Nürnberg betreibt eine Internet-Jobbörse. Dabei können sich sowohl Arbeitssuchende als auch Arbeitgeber registrieren. Der Zugang zu diesem Portal ist recht einfach. Jobsuchende registrieren sich und können dann entscheiden, ob sie ein anonymes Profil anlegen wollen oder ein offenes, bei dem auch Adresse und Telefonnummer erkennbar sind. Arbeitgeber wiederum müssen eine Anmeldeprozedur ohne große Hürden durchlaufen. Nach der Eingabe einiger Standarddaten bekommt man eine Pin per Post geschickt, mit der man Zugang zu dem Portal hat und damit auf die Daten etlicher Menschen. Der Pin-Versand erfolgt automatisch – ohne großartige Prüfung. „Diese Registrierung der Arbeitgeber ist absolut unzureichend“, kritisiert der Bundesbeauftragte für den Datenschutz Peter Schaar. Es werde weder die Seriosität des Angebots noch die Identität des Registrierten richtig geprüft. „Staatliche Stellen dürfen sich solche Sicherheitslücken auf keinen Fall leisten, sie haben eine besondere Sorgfaltspflicht“, sagt Schaar. Auf diese Weise könnten Personen an Daten gelangen, die Glücksspiele verkaufen wollen, die Menschen zur Prostitution zwingen wollen oder die Daten zum Verkauf brauchen. „Vor allem die Glücksspielfälle hat es bei der Jobbörse schon gegeben“, sagt Schaar.

Wie reagiert die BA?

Die Bundesagentur räumt ein, dass es ein schmaler Grad zwischen Kundenfreundlichkeit und Datenschutz sei. „Wir haben die Zugangshürden bewusst niedrig gehalten, damit so viele Menschen wie möglich das Angebot nutzen“, sagt BA-Sprecherin Anja Huth. Außerdem gebe es einen Prüfmechanismus. So seien 20 BA-Mitarbeiter damit beschäftigt, wöchentlich die eingehenden Angebote stichprobenartig zu prüfen. Dabei würden im Schnitt rund 300 Angebote herausgenommen. Allerdings räumt Huth ein, dass derzeit noch nicht jeder Arbeitgeber, der sich registriere, auch geprüft werde. „Dass pro Woche so viele Angebote aus der Jobbörse fliegen, zeigt, dass es offensichtlich einen massiven Missbrauch der Jobbörse gibt“, kritisiert Schaar. Derzeit sind fast vier Millionen Menschen, die konkret auf Jobsuche sind oder sich einfach nach neuer Arbeit umschauen, in dem Portal registriert. Auf Arbeitgeberseite gibt es rund 55 000 Registrierungen. Auch der neue Bundesarbeitsminister Franz-Josef Jung (CDU) fordert rasche Aufklärung. Schaar begrüßt die Jung-Äußerung, denn „wenn die BA das Problem nicht selbstständig lösen kann, muss sich das Arbeitsministerium einschalten“.

Was muss sich ändern und wie sollten Arbeitssuchende reagieren?

Die Bundesagentur wird die Registrierung für Arbeitgeber ab Dezember verschärfen. „Das hatten wir ohnehin vor“, sagt Huth. Künftig wird geprüft, ob der Arbeitgeber der BA bekannt ist und ob Einträge in der zentralen Betriebedatei vorliegen. Sollte dabei festgestellt werden, dass Angaben zur Branche im Registrierungsprozess von Eintragungen in der zentralen Betriebedatei abweichen, wird der Arbeitgeber kontaktiert. Bei der BA unbekannten Arbeitgebern wird eine Plausibilitätsprüfung durchgeführt, ob die Branchenangabe mit der Firmenbezeichnung und dem Betriebszweck übereinstimmen kann. Bei nicht klärbaren Diskrepanzen unterbleibe eine Registrierung. „Damit soll sichergestellt werden, dass ab Dezember jeder, der sich als Arbeitgeber registriert, auch überprüft wird“, sagt Huth. Der Datenschutzbeauftragte begrüßt die Neuerung. „Nur hätte das schon vor einem Jahr eingeführt werden müssen.“ Arbeitssuchenden rät er, bei Angeboten von Arbeitgebern, deren Firmennamen man nicht kennt, bei der BA nachzuhaken.

Was ist bei Libri.de passiert?

Bei Libri.de waren rund 500 000 Kundenrechnungen frei verfügbar. Der Betreiber des Blogs Netzpolitik.org, Markus Beckedahl, wurde auf das Problem aufmerksam gemacht. Kunden von Libri.de erhalten eine E-Mail mit einer URL, also einer Internetadresse, über die sie ihre Rechnung abrufen können. Dies ist gängige Praxis bei vielen Unternehmen. In der Regel sind die Seiten aber so gesichert, dass sie nur von einem Computer aufgerufen werden können. Diese Sicherung hatte Libri nicht vorgenommen. Änderte man die fortlaufende Nummer, die Teil der von Libri verschickten Internetadresse war, in der Adresszeile des Browsers, konnte man auch die Rechnungen anderer Kunden einsehen. Mit einem sehr einfachen Programm ließen sich die URLs automatisch austauschen und die angezeigten Rechnungen herunterladen. Markus Beckedahl habe so 20 000 Rechnungen innerhalb von einer halben Stunde heruntergeladen. Die Rechnungen enthielten unter anderem die Namen, Adressen und Kontonummern der Libri-Kunden und die Bücherbestellungen. Beckedahl weist darauf hin, das Bücherbestellungen „sehr intime Informationen“ sein können, etwa bei Sachbüchern zu Krankheiten oder Ratgeberliteratur.

Sind Daten bei Libri.de jetzt sicherer?

Laut Libri.de wurde die Sicherheitslücke sofort geschlossen, nachdem das Unternehmen den Hinweis von Netzpolitik.org erhalten hatte. Per Dalheimer, Geschäftsführer von Libri.de, sagte zu, in Zukunft auch die Kooperation mit dem Hamburger Datenschutzbeauftragten zu verstärken. Eine Analyse der Protokolldateien hat nach Aussage des Buchgroßhändlers ergeben, dass die Daten noch nicht in Umlauf gekommen sind.

Libri.de hatte ein TÜV-Siegel. Welchen Wert haben Datensiegel?

Eine einheitliche Prüfung der Datensicherheit gibt es nicht, dafür eine Vielzahl unterschiedlicher Siegelanbieter. Nicht alle bieten dem Kunden das gleiche Maß an Transparenz. Zu unterscheiden ist nach Auskunft des schleswig-holsteinischen Datenschutzbeauftragten Thilo Weichert, dessen Behörde selbst ein Prüfsiegel anbietet, zunächst zwischen Datenschutz- und Datensicherheitssiegeln. Siegel für Datensicherheit zertifizieren lediglich rein technisch, dass die Daten sicher übertragen und gespeichert werden.

Anbieter von Datenschutzsiegeln sollten auch überprüfen, ob die Praxis des Anbieters mit dem Datenschutzrecht konform ist und wie freizügig Daten innerhalb der gesetzlichen Vorschriften behandelt werden. Das Siegel des TÜV Süd, das nach eigenen Angaben auch den Datenschutz prüft und Libri.de zertifiziert hat, hat insgesamt etwa 150 Seiten geprüft. Darunter sind Partnerbörsen ebenso wie Versicherer, Banken und Reiseanbieter. „Wir nehmen für uns in Anspruch, eine sehr weitreichende Prüfung vorzunehmen“, sagt Frank Volk, Sprecher des TÜV Süd. Geprüft werden die Unternehmen durch eigene Gutachter – auch vor Ort. Das Verfahren dauere „einige Tage“, in etwa einem Drittel der Fälle würden Sicherheitslücken gefunden und geschlossen. Zum Vergleich: Das Vergabeverfahren der schleswig-holsteinischen Datenschützer dauert in der Regel drei bis vier Monate. Auch will der TÜV seine Prüfkriterien nicht offenlegen, eine Praxis, die Weichert bemängelt. Zu den Gütekriterien eines Siegels gehöre auch, dass die Vergabekriterien bekannt gemacht werden.

Warum häufen sich die Pannen?

Die Anbieter von Börsen und Netzwerken im Internet bewegen sich stets auf dem schmalen Grad zwischen Nutzerfreundlichkeit und Sicherheit. Darauf hatte Beckedahl schon im Fall Schüler VZ verwiesen und kritisiert, dass das Schüler VZ zu stark auf die einfache Nutzbarkeit ausgerichtet sei. Ähnlich liegt der Fall bei der Arbeitsagentur. Im Fall von Libri.de wäre allerdings eine Sicherung möglich gewesen, die die Nutzerfreundlichkeit nicht eingeschränkt hätte.