In Österreich gingen vertrauliche Informationen zu Vergleichstests verloren. Der Fall ist noch ungeklärt, vorangegangene Pannen zeigen jedoch stets das gleiche Muster. Grund ist meist Sorglosigkeit der Nutzer und Betreiber.
Die Computerfreaks haben laut gelacht. Ausgerechnet das E-Mail-System des Innenministeriums soll im April 2013 von Hackern geknackt worden sein. Innerhalb von Minuten machten Momentaufnahmen von Computermonitoren, sogenannte Screenshots, im Netz die Runde. Die Fotos zeigten u.a. halb private Mails von Johanna Mikl-Leitner (es ging um ihren Account bei i-Tunes) und Handynummern ihrer wichtigsten Mitarbeiter. Und ein Pressesprecher offenbarte in einer Nachricht, dass er sein Handy verloren hatte.
Pannen wie diese wurden während der vergangenen Jahre in immer kürzeren zeitlichen Abständen bekannt. Und es ist sehr wahrscheinlich, dass diese Entwicklung weiter an Fahrt aufnimmt. Dass nun auch Tests des BIFIE auf in Rumänien stehenden Servern aufgetaucht sind, passt da nur ins Bild (siehe Berichte S. 1 und 2). Aber warum eigentlich? Ist das Internet an sich böse und unsicher? Und gibt es überhaupt irgendeine Form von Daten, die nicht verloren geht?
Ist bei derartigen Zwischenfällen von „Daten“ die Rede, dann sind eigentlich mehr oder weniger sensible Informationen gemeint, die irgendwo digital gespeichert sind. Vor wenigen Jahrzehnten noch lagen Informationen in den allermeisten Fällen in Form gedruckter Unterlagen, Akten und Dossiers vor. Wenn Unbefugte an sie heranwollten, blieb oft nur eine Möglichkeit: einbrechen, Aktenschrank öffnen, Kopierer starten.
Die fortschreitende Digitalisierung und Vernetzung der Welt hat Information in gewisser Weise entleibt und – zum Beispiel via Mausklick und E-Mail – beliebig transportabel gemacht. Damit Daten nur jenen zugänglich sind, die auch ein Recht darauf haben, arbeitet eine ganze Industrie daran, es Computereinbrechern möglichst schwer zu machen. Meistens funktionieren diese Vorkehrungen gut. Getrennte Netze, Firewalls oder Verschlüsselungstechnik sind taugliche Mittel, um digitale Informationen zu schützen. Aller Aufwand nützt jedoch nichts, wenn der Mensch versagt.
•Panne im Innenministerium: Es war kein Computergenie, das die Sicherheitsarchitektur des Systems aushebelte. Vielmehr erhielt der Eindringling den Benutzernamen und das Passwort eines IT-Mitarbeiters. So war es möglich, sich von jedem Ort auf der Welt mit Internetanschluss und via Browser mit dem E-Mail-Konto der Benutzerverwaltung zu verbinden. Viele Unternehmen arbeiten mit so einer Funktion, die die meisten Anwender als Outlook-Webmail kennen. Das Innenministerium hat diesen Zugang inzwischen eingeschränkt. Wie der Eindringling zu den Log-in-Daten gekommen ist, wird bis heute ermittelt. Wahrscheinlich ist, dass der betroffene Mitarbeiter sozusagen offline ausspioniert wurde. Das System selbst kann nichts dafür.
•Patientendaten aus Apotheken: Ebenfalls 2013 machte auf dem Schwarzmarkt ein Datensatz des Apothekerverlags die Runde. Das Unternehmen bietet Apotheken als Dienstleistung die Verrechnung von Rezepten an. Von 2000 Personen tauchten die Daten dazu auf. Wieder hatten die Hacker nicht das gesicherte Live-System angegriffen, sondern die Informationen anders erhalten. Für Systemwartungen wurden in der Vergangenheit weniger gesicherte Kopien angefertigt. Eine ebensolche Kopie ging verloren. Wie genau, das ist noch unklar.
•Gesundheitsdaten des Hauptverbandes: Im Oktober 2013 machten persönliche Daten von Versicherten im Netz die Runde. Angeblich, berichteten Medien, hätten Hacker eine zentrale Datenbank geknackt. Tatsächlich war anderes passiert. Ein Lehrling hatte im Haus Screenshots angefertigt, die nach außen gelangten. Zum System selbst hatte kein Eindringling von außen Zugang.
•550.000 TGKK-Versichertezum Kauf: Schon 2011 waren Versicherungsdaten des Großteils aller in Tirol versicherten Personen auf dem Schwarzmarkt zu erwerben. Anders als kolportiert gingen auch hier die Daten nicht durch einen digitalen Einbruch verloren. Vielmehr war es damals üblich, dass die Gebietskrankenkasse den vollständigen Datensatz an Vertragspartner wie Ärzte und das Rote Kreuz weitergab. Unverschlüsselt. Dabei gingen die Informationen verloren.
Die Auflistung menschlicher Fehler lässt sich noch fast beliebig weiter verlängern. Das Grundmuster liefert seit vielen Monaten die Basis für die Kritiker der elektronischen Gesundheitsakte (ELGA). Auch hier ist es sehr wahrscheinlich, dass die Techniker das System an sich sicher machen. Bei der Anzahl an Nutzern ist jedoch praktisch nicht auszuschließen, dass sensible Informationen doch in größerem Ausmaß verloren gehen können.
("Die Presse", Print-Ausgabe, 26.02.2014)