Datenleck bei der Sparkasse: Die Daten der anderen

Derzeit scheint keine Woche zu vergehen, in der nicht neue Datenlecks und Spähmöglichkeiten auftauchen. SchülerVZ hat es vor kurzem getroffen, dann die Rechnungsdatenbank des Buchversenders Libri.de, nun also auch die Sparkassen.

Das Blog Netzpolitik berichtet, im Online-Shop der Sparkassen sei es ohne Probleme möglich gewesen, Hunderttausende Rechnungen einzusehen, samt den dort enthaltenen Daten wie Name, Adresse, Zahlungsweise und, wenn die Kunden Bankeinzug genehmigt hatten, auch die Kontonummer.

In dem Online-Shop kann man Chipkartenlesegeräte kaufen, Taschenkalender oder die Onlinebankingsoftware "Star Money". Betrieben wird er vom Deutschen Sparkassenverlag und ist über www.sparkasse.de erreichbar. Wer sich einloggte, konnte aufgrund einer Lücke im System auch jene Rechnungen sehen, die anderen Kunden gestellt wurden.

Dazu brauchte es ein kostenloses Programm namens "Firebug". Das ist ein Werkzeug für Webseitenentwickler, mit dem unter anderem der Quellcode einer Seite angezeigt und verändert werden kann. Mit Hilfe des Programms ließ sich der Quellcode so verändern, dass man sich nicht nur die Seite mit der eigenen Rechnungsnummer aufrufen konnte, sondern eben auch die andere´r Rechnungsnummern. Wenn man im Quellcode die Nummer änderte, lud der Browser die dazugehörende Rechung aus der Datenbank nach – zeigte also fremde Rechnungen an.

Einzelne Abfragen sind das eine, schließlich kann man im Supermarkt auch einen Kassenbeleg aus dem Papierkorb fischen. Wer aber im Netz ein kleines Programm verwendete, ein sogenanntes Script, konnte – wie auch im Fall SchülerVZ – ohne große Mühe alle verfügbaren Rechnungen aus der Datenbank laden und speichern. In der Datenbank des Sparkassen-Shops liegen 350.000 Rechnungen. Das sind viele Kontonummern.

Leider passiert so etwas inzwischen ziemlich oft. Je stärker der Handel über das Internet wächst, desto mehr solcher Shops gibt es, und desto häufiger führen Programmier- oder Planungsfehler zum Verlust großer Datenmengen. So konnte sich, wer wollte, bei Libri.de anschauen, für welche Bücher sich andere Menschen in den vergangenen 16 Monaten so interessierten.

Deutlich machen solche Lecks vor allem eines: Datenschutz ist ein zentrales Thema der Informationsgesellschaft und müsste jeden interessieren. Oder, wie es ein Leser bei Netzpolitik in den Kommentaren ausdrückt: "Verdammt! Bis jetzt hat mich die ganze Datenschutzsache nicht betroffen. Bei Libri hab ich nie bestellt und mein SchülerVZ Account wurde nie ausgefüllt (...). Aber jetzt trifft es mich wie ein Schlag. Ich (...)  möchte verdammt noch mal meine Privatsphäre, vor allem bei meiner Bank!"

Da ist es nur zu begrüßen, dass der neue Innenminister Thomas de Maizière das Thema nun als einen der Schwerpunkte seiner Legislatur definiert hat. Im Tagesspiegel sagte er, es brauche für die Herausforderungen des Internet-Zeitalters einen "konsistenteren und breiteren Ansatz". Dabei solle der Schutz des sicheren Datenverkehrs zwischen den Bürgern im Mittelpunkt stehen. Bislang habe man sich dabei zu sehr um einzelne Maßnahmen gekümmert. Das aber sei nicht mehr angemessen: "Es ist an der Zeit, dass wir einen systematischeren Ansatz entwickeln." Unter anderem sagte de Maizière, er wolle "bald" einen Entwurf vorlegen, um ein Arbeitnehmerdatenschutzgesetz zu regeln.

Die deutschen Datenschützer fordern, das gesamte Datenschutzrecht müsse einer Generalrevision unterzogen werden. Das tun sie schon länger, haben auf ihrer Herbsttagung im Oktober aber auf die wachsende Dringlichkeit hingewiesen. Es sei zu befürchten, hieß es in einer Erklärung, dass "vor dem Hintergrund der fortschreitenden technologischen Entwicklung und einer steigenden Sorglosigkeit der Bürger im Umgang mit persönlichen Daten" dass bestehende Recht "keinen wirksamen Schutz mehr darstelle".

Die bisherigen "Not-Operationen" an den Gesetzen seien dagegen keine Lösung. Die Bürger müssten endlich "die Selbstbestimmung über ihre Daten wiedergewinnen", fordern die Datenschützer von Bund und Ländern. Außerdem brauche es ein Ende der "zunehmenden Überwachung" und der "ausufernden Verknüpfung von Daten in Staat und Wirtschaft".

Angesichts der Versäumnisse wie bei Libri oder der Sparkasse könnte der Eindruck entstehen, als sei es fast schon zu spät. Es könnte jedenfalls sehr schwer werden, die Hoheit über unsere Daten zurückzubekommen.

Quelle: ZEIT ONLINE