Etliche Datenlecks liefern das Thema dieses Standpunkt Sicherheit, denn zur Zeit scheinen Datenlecks in allen möglichen Varianten Saison zu haben. Haben sich die Skandale aus dem vergangenen Jahr nicht bis zu den Verantwortlichen herum gesprochen, oder warum haben die nichts daraus gelernt?

Das erste Datenleck bei Libri

Wie netzpolitik.org herausfand, standen beim Online-Buchhändler Libri 500.000 Rechnungen mehr oder weniger offen im Netz. Über URLs nach dem Muster

http://www.libri.de/shop/action/account/invoiceDownload?invoiceId=123456

konnten die Rechnungen als PDF-Datei herunter geladen werden - ohne dass vorher eine Authentifizierung notwendig war oder es andere Schutzmaßnahmen gab.

Die Rechnungen enthielten die üblichen, bzw. vorgeschriebenen Informationen wie Name und Anschrift des Käufers, Kaufdatum, die gekauften Produkte samt Preis, die Buchhandlung, über die die Produkte geliefert wurden, Rechnungs- und Kundennummer sowie die Bezahlweise, aber keine Kontonummer.

Mal abgesehen davon, dass es vielleicht ein netter Service ist, so alte Rechnungen (die älteste war vom 29. Mai 2008) weiterhin zum Download bereitzustellen, gibt es eigentlich keinen Grund dafür. Jedenfalls keinen, der mir einfällt. Dass man die Rechnungsnummer für die Abfrage der Rechnungen genommen hat, ist dagegen nahliegend und durchaus verständlich, schließlich ist sie ja gerade dafür gedacht. Und das die Rechnungsnummer fortlaufend vergeben wird, ist ebenfalls nahliegend und außerdem sogar gewissermaßen Gesetz (auch wenn es dabei Spielräume gibt).

Pikantes Detail am Rande: Libri.de wirbt mit dem "S@fer-Shopping-Zertifikat" des TÜV-Süd. Das lässt eigentlich nur die 2 auch von netzpolitik.org genannten Möglichkeiten zu: Entweder die Schwachstelle wurde beim Audit übersehen, oder sie wurde bei einem späteren Update erzeugt und das System danach nicht erneut geprüft. Beides kann durch menschliches Versagen passieren, sollte es aber nicht. Vor allem, da "erratbare Links", und vor allem heraufzählbare, ein Standardfehler sind. Auf der Website des SWR gibt es eine Stellungnahme des TÜV-Süd dazu. Erinnert teilweise an einen gewissen ehemaligen bayerischen Ministerpräsidenten. Die prüfen also im jährlichen Rhythmus, und was dazwischen am geprüften System geändert wird, interessiert nicht. Warum sollten man sich dann für das Zertifikat interessieren?

Das zweite Datenleck bei Libri

Nicht kleckern, sondern klotzen - das scheint man sich bei Libri gesagt zu haben, und nach dem ersten Datenleck gab es gleich ein zweites, ebenfalls von netzpolitik.org aufgedecktes: Auch die Benutzernamen und die damit identischen Passwörter für die auf Libri.de betriebenen Shops wurden aufsteigend vergeben. Genial! Diesmal erlangte man Zugriff auf die kompletten Bestellstatistiken, die Bestellhistorie, Beleghistorie und die Kundenliste samt Mail- und Postadressen. Inzwischen hat man bei Libri nachgebessert und das implementiert, was eigentlich üblicher Standard ist: Änderung des Default-/Start-Passworts nach dem ersten Login, Prüfen des Passworts auf dessen Sicherheit und ein CAPTCHA gegen Brute-Force-Angriffe. Da fallen mir spontan aber noch zwei Fragen ein: Wo werden denn noch überall heraufzählbare Parameter verwendet? Und hat man bei Libri inzwischen mal das ganze System auf Schwachstellen geprüft, oder wartet man, bis das von netzpolitik.org erledigt wurde?

Das Datenleck bei der Postbank

Bei der Postbank hatte man Probleme, zwischen mein und dein zu unterscheiden, nämlich zwischen meinen Daten und deinen Daten: Man war der Ansicht, die freien Handelsvertreter, die die Produkte der Postbank vertreiben, dürften ruhig die Girokonten der Bankkunden sehen, auch ohne deren Einwilligung und ohne jeden Bezug. Allerdings wäre es auch nicht viel besser gewesen, wenn das keine freien Handelsvertreter, sondern Mitarbeiter der Postbank gewesen wären. Zweck des ganzen: Die Vertreter sollten sehen, wann die Kunden zu viel Geld auf dem Konto hatten, das man dann besser anderweitig anlegen könnte. Also alles im Lot, schließlich war es ja nur zu deren Besten. Der Handelsvertreter natürlich, nicht der Kunden. Und in Zeiten der Bankenkrisen darf man doch das Bankgeschäft nicht durch kleinliches Einhalten von Datenschutzbestimmungen behindern.

Bei der Postbank sieht man das natürlich sowieso alles anders und ist der Meinung, eine Einwilligung der Kunden sei gar nicht notwendig. Was von den Entdeckern des Skandals, Finanztest, bereits kommentiert wurde. Außerdem hat Finanztest aufgelistet, was die Handelsvertreter alles sehen konnten. Die Liste dessen, was sie nicht sehen konnten, dürfte deutlich kürzer oder sogar leer sein. Was bei der ganzen Geschichte übersehen wird, ist die Frage, wo die Daten den evtl. noch gelandet sind. Immerhin wäre das nicht das erste Mal, dass externe Vertriebsmitarbeiter Daten zweckentfremdet hätten. Die Telekom kennt sich damit ja aus.

Das erste Datenleck bei der Arbeitsagentur

Das von der Süddeutschen Zeitung aufgedeckte Datenleck in der Jobbörse der Arbeitsagentur, in der jeder, der sich als Arbeitgeber ausgibt, an sensible Bewerberdaten gelangt, hat es sogar bis ins Blog von Sophos geschafft. So tun, als wollte man jemanden einstellen, und schon hat man Zugriff auf sämtliche Bewerberdaten - das ist natürlich ein Unding. Einige der vorgeschlagenen Maßnahmen sind aber nicht gerade zielführend, vor allem nicht der von Thilo Weichert geforderte Abgleich mit dem Handelsregister - da stehen sämtliche Freiberufler nicht drin, und auch die stellen ja mitunter jemanden ein. OK, das ist für die Freiberufler weiter kein Problem, die finden ihre neuen Mitarbeiter dann eben über andere Wege, aber ob die Arbeitsagentur auf diese potentiellen Arbeitgeber verzichten möchte? Dummerweise kann ich in diesem Fall nur meckern, eine wirklich bessere Lösung fällt mir dazu eigentlich auch nicht ein. Man könnte die Ust-ID verwenden, aber die hat auch nicht jedes Unternehmen, da man sie nur für Geschäfte mit dem EU-Ausland benötigt. Und man kann auch nicht prüfen, ob die Interessenten bereits der Sozialversicherung als Arbeitgeber bekannt sind, da man dann alle die ausschließen würde, die ihren ersten Mitarbeiter suchen.

Das zweite Datenleck bei der Arbeitsagentur

Auch bei der Arbeitsagentur fand man klotzen besser als kleckern, und dann hat man noch bei der Postbank abgeguckt: In einem neuen Computersystem mit dem Namen 4-PM ("Vier-Phasen-Modell") werden Daten von Erwerbslosen gespeichert, die auch so sensible Informationen wie Suchtkrankheiten, Verschuldung oder schwierigen familiären Verhältnissen umfassen und die bundesweit von allen Mitarbeitern der Jobcenter und der Arbeitsagenturen abgefragt werden können. Wozu das Ganze? Vermutlich hatte man keine Lust, eine anständige Zugriffskontrolle zu implementieren, die nur den jeweils zuständigen Mitarbeitern den Zugriff ermöglicht. Aber man hätte es ja zumindest regional eingrenzen können - wozu muss z.B. ein Mitarbeiter eines Hamburger Jobcenters Zugriff auf die Daten Münchner Erwerbsloser haben?

Alles zusammen

Eigentlich haben wir nur ein Grundproblem: Das mangelhafte Wissen darüber bzw. Verständnis dafür, dass Daten geschützt werden müssen, damit sie nicht missbraucht werden. Wäre dieses Grundproblem erkannt worden, hätte man weder bei Libri typische Anfängerfehler gemacht noch bei der Postbank einfach mal so interne Daten an externe Mitarbeiter weiter gegeben. Bei der Arbeitsagentur sieht die Sache etwas anders aus - da weiß man zumindest im zweiten Fall schon seit längeren von den Bedenken der Datenschützer, stört sich aber nicht daran. Mal sehen, was die neue Bundesregierung in dem Fall unternimmt. Schließlich ist jetzt ja eine angebliche Bürgerrechtspartei an der Regierung beteiligt.