Datenschützer bemängeln die Sicherheits-Maßnahmen der österreichischen Webseiten-Betreiber. Nur zehn Prozent seien wirkungsvoll geschützt. Besonders Formulare öffnen Hackern Tür und Tor.
Die Hacker-Attacken der Internetaktivisten "Anonymous" ziehen immer weitere Kreise und legen dar, wie einfach es offenbar ist, in scheinbar geschützte Systeme einzubrechen. Für Hans Zeger von der Datenschutzorganisation ARGE Daten sind die jüngsten Angriffe, zuletzt auf die GIS (Gebühren Info Service), wenig überraschend. Nur zehn Prozent der Systeme seien in Österreich ausreichend geschützt, sagte er am Montag. Über weite Strecken werde "sehr leger mit Sicherheitsmaßnahmen umgegangen", Österreich schneide im internationalen Vergleich unterdurchschnittlich ab.
Ein Beispiel für mangelhafte Sicherheitsvorkehrungen seien unzulänglich geschützte Webformulare, über die direkt mit dem Server Kontakt aufgenommen werden kann. Durch sogenannte SQL-Injektionen werden Steuerungsbefehle auf den Seiten eingegeben, die bei schlecht programmierten Seiten einen direkten Zugriff auf das System zulassen. Zeger vermutet, dass die "Anonymous"-Aktivisten ihre jüngsten Attacken auf diese Weise durchgeführt haben. Wie schlampig mit der Datensicherheit - auf die auch Kunden angewiesen sind - umgegangen wird, zeigt der Blick auf die Methoden: Ungeschützte Seiten lassen sich laut Zeger über einfache Google-Suche herausfinden, indem man bestimmte Suchbegriffe eingibt.
Aber nicht nur Einbrüche über ungeschützte Formulare machen den Datenschützern Sorgen. Auch die immer noch weit verbreitete unverschlüsselte Übermittlung von Zugangsdaten kann jedwede Sicherheitsvorkehrung zunichtemachen. Auch bei vermeintlich sicheren Authentifizierungsmethoden, wie der Bürgerkarte, kann ein solches Fehlverhalten an einem Ende der Verwertungskette jeden Schutz ad absurdum führen. So wurden in einem von der ARGE Daten untersuchten Fall von einer Privatfirma Daten der Karten im Klartext übermittelt, womit sie mit einfachen Mitteln abgefangen und auslesbar gewesen wären.
Zeger plädiert für eine Art "Betriebsgenehmigung für Anwendungen, die persönliche Daten verwalten". Zwar gebe es sogar einen ÖNORM-Standard über sichere Webapplikationen, dieser werde aber erst von drei bis vier Firmen angewendet.
Laut Datenschutzgesetz sind die Betreiber verpflichtet, die ihnen anvertrauten Daten ordnungsgemäß zu sichern, wie es in Paragraf 14 heißt. "Für alle Organisationseinheiten eines Auftraggebers oder Dienstleisters, die Daten verwenden, sind Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Dabei ist je nach der Art der verwendeten Daten und nach Umfang und Zweck der Verwendung sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit sicherzustellen, dass die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind, dass ihre Verwendung ordnungsgemäß erfolgt und dass die Daten Unbefugten nicht zugänglich sind."
(APA)