Author Topic: [Datenpannen und Identitätsdiebstahl...]  (Read 82105 times)

0 Members und 1 Gast betrachten dieses Thema.

Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10096
  • Subfrequenz Board Quotation Robot
[Datenpannen und Identitätsdiebstahl...]
« Reply #175 on: November 20, 2019, 10:10:18 vorm. »
Quote
[...] Unbekannte sind durch eine Sicherheitslücke in das IT-System des Versandhändlers Conrad Electronic eingedrungen. Dadurch hätten die Angreifer offenbar über Monate hinweg Zugriff auf fast 14 Millionen Kundendatensätze in einer Elasticsearch-Datenbank nehmen können, teilte die Conrad Electronic SE mit. Es gebe aber keine Hinweise darauf, dass die Hacker die Daten tatsächlich abgegriffen und missbraucht hätten.

Kreditkarteninformationen und Kundenpasswörter seien nicht kompromittiert worden. Vielmehr handelte es sich Conrad zufolge um Postadressen, teilweise E-Mail-Adressen sowie Fax- und Telefonnummern und bei einem Fünftel der Datensätze auch um Bankverbindungen (IBANs). Die Sicherheitslücke, die den Zugang ermöglichte, sei inzwischen geschlossen sowie weitere Vorkehrungen getroffen worden.

Die Conrad-Gruppe hat eigenen Angaben nach Strafanzeige beim Landeskriminalamt gestellt und das das Bayerische Landesamt für Datenschutzaufsicht informiert. Das Oberpfälzer Familienunternehmen rät Kunden trotzdem zu Vorsicht – vor allem, wenn diese E-Mails mit Anhängen erhielten. Es hat eine Internetseite eingerichtet, wo Kunden sich informieren und Fragen stellen können. “Die Sicherheit unserer Kunden und ihrer Daten ist uns sehr wichtig. Wir bedauern sehr, dass es zu dieser Datenpanne gekommen ist und bitten unsere Kunden aufrichtig um Entschuldigung“, erklärte Conrad-Chef Werner Conrad. (Mit Material der dpa) / (axk)


Aus: "Unbekannte dringen in Server von Conrad Electronic ein" Axel Kannenberg (19.11.2019)
Quelle: https://www.heise.de/newsticker/meldung/Unbekannte-dringen-in-Server-von-Conrad-Electronic-ein-4591326.html

Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10096
  • Subfrequenz Board Quotation Robot
[Datenpannen und Identitätsdiebstahl...]
« Reply #176 on: Januar 19, 2020, 05:16:11 nachm. »
Quote
[...] Ein Vertriebsnetz für Porno-Websites, die sich auf kostenpflichtige Streams von Live-Kameras spezialisiert haben, hat eine riesige Sammlung mit hochsensiblen Daten der beteiligten Sexarbeiterinnen und Sexarbeitern frei im Internet zugänglich aufbewahrt. Das Affiliate-Unternehmen mit dem vielsagenden Namen "PussyCash" hat in einem offenen S3-Bucket in der Amazon-Cloud eine Sammlung persönlicher Daten samt Bildern von über 4000 Beteiligten vorgehalten. Das haben Security-Spezialisten von vpnMentor aufgedeckt.

Der knapp 20 Gigabyte große Objektspeicher des Amazon-Cloud-Dienstes Simple Storage Service (S3) enthielt laut dem Bericht von vpnMentor mehr als 875.000 Dateien, darunter Videos, Marketingmaterialien, Screenshots von Videochats sowie ZIP-Archive mit gesammelten Daten zu jeweils einer dort tätigen Personen. Enthalten sind Fotos bzw. Scans von Pässen, Personalausweisen, Führerscheinen, US-Militärausweisen, Sozialversicherungsausweisen, Kreditkarten, Eheschließungs- und Geburtsurkunden – also nahezu alle Dokumente, die eine moderne bürgerliche Existenz vollständig enthüllen.

Doch damit nicht genug: Enthalten waren in dem Leak außerdem die gescannten Verträge, in denen die Frauen und Männer bei dem Affiliate-Netz als "Models" beschäftigt werden, sowie schematische Körperdarstellungen mit etwaigen Piercings, Tattoos und Narben samt Angaben zu diversen Körpermaßen. Manche der "Models" hielten ihre Ausweise auch selbst ins Bild. Betroffen sind Sexarbeiter aus zahlreichen Ländern in aller Welt. Wie vpnMentor schreibt, sind manche Daten 15 bis 20 Jahre alt, andere erst wenige Wochen. Die Inhalte stammen demnach hauptsächlich von der LiveCam-Website imlive.com, andere Daten verweisen jedoch auf den Eigentümer des S3-Bucket, das Affiliate-Unternehmen "PussyCash", das auf seiner Website selbst keine pornografischen Inhalte anbietet.

Die Security-Spezialisten fanden die offene Datensammlung am 3. Januar und informierten am folgenden Tag "PussyCash" sowie das zugehörige Unternehmen "ImLive". Da es zunächst keine Reaktion gab, setzten sie am 7. Januar Amazon in Kenntnis – am selben Tag reagierte dann auch "ImLive" und teilte mit, man werde sich um die Angelegenheit kümmern und sie an das Technikteam von "PussyCash" weiterreichen. Zwei Tage später war der S3-Bucket nicht mehr offen zugänglich. Von "PussyCash" hat vpnMentor bislang keine Antwort erhalten, auch nicht von dessen Datenschutzbeauftragtem.

Der Eigentümer beider Unternehmen hat seinen Sitz in Andorra – da dieser Staat kein EU-Mitglied ist, greift hier die EU-Datenschutzgrundverordnung nicht. Durch diese könnten Behörden derartige Datenschutzverstöße mit teils empfindlichen Geldbußen ahnden.

Im November vergangenen Jahres hatten offen zugängliche Logdateien eines spanischen Betreibers von Porno-Websites die Identität von Millionen Betrachtern und der Sexarbeiterinnen ("Camgirls") zumindest indirekt – etwa über E-Mail-Adressen oder Nutzernamen – enttarnt. Im vorliegenden Fall ist die Enthüllung der Identität jedoch total und die Auswirkungen für die Betroffenen könnten katastrophal sein; sie könnten etwa Opfer von Mobbing, Stalking oder Erpressung werden. 2015 war es im Zuge der Enthüllung von Nutzern des Seitensprung-Portals "Ashley Madison" mutmaßlich zu einem damit zusammenhängenden Selbstmord gekommen. (tiw)


Aus: "Eimerweise hochsensible Daten: Schwerwiegender Leak bei LiveCam-Pornowebsites" Tilman Wittenhorst (18.01.2020)
Quelle: https://www.heise.de/newsticker/meldung/Eimerweise-hochsensible-Daten-Schwerwiegender-Leak-bei-LiveCam-Pornowebsites-4641374.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10096
  • Subfrequenz Board Quotation Robot
[Datenpannen und Identitätsdiebstahl...]
« Reply #177 on: Januar 23, 2020, 05:12:35 nachm. »
Quote
[...] Es ist wohl eines der größten Datenlecks in der Geschichte der Bundesrepublik: Persönliche Daten von drei Millionen Kunden der Autovermietung Buchbinder standen wochenlang ungeschützt im Netz, darunter Adressen und Telefonnummern von Prominenten und Politikern wie Robert Habeck von den Grünen. Zugänglich waren außerdem Unfallberichte sowie Mails und Zugangsdaten von Mitarbeitern der Buchbinder-Gruppe. Das ergab eine gemeinsame Recherche des Computermagazins c't und der Wochenzeitung DIE ZEIT.

Ursache des Lecks war ein Konfigurationsfehler bei einem Backup-Server. Es stand der Port 445 offen, der Zugriffe über das Netzwerkprotokoll SMB erlaubt. Deshalb konnte jeder Internet-Nutzer die von Buchbinder auf dem Server abgelegten Dateien herunterladen – insgesamt über 10 Terabyte. Ein Passwort war dafür nicht nötig. Man musste lediglich die IP-Adresse des Servers im Windows-Datei-Explorer eingeben, große Festplatten und ein paar Stunden Zeit zum Download investieren.

Buchbinder ist einer der größten deutschen Autovermieter und nach eigenen Angaben "Marktführer im Privatkundensegment PKW und LKW in Deutschland und Österreich". Die Unternehmensgruppe mit Hauptsitz in Regensburg beschäftigt mehr als 2500 Mitarbeiter und betreibt rund 165 Mietstationen in Europa. Die Kerngesellschaft der Gruppe, die Charterline Fuhrpark Service GmbH, machte 2018 laut Jahresabschluss einen Umsatz von knapp 350 Millionen Euro. Ihr zur Seite stehen laut Datenschutzerklärung die Carpartner Nord GmbH sowie die Terstappen Autovermietung GmbH in Duisburg. Seit 2017 gehört Buchbinder zum französischen Europcar-Konzern.

Buchbinders IT-Abteilung nutzte laut Who-is-Abfrage einen durch die Charterline angemieteten Cloud-Rechner bei der PlusServer GmbH in Köln. Auf diesem wurden jeden Wochentag .bak- und .log-Dateien gespeichert – jede davon mehrere hundert Gigabyte bis über ein Terabyte groß.

Den Hinweis auf den offenen Server erhielten c't und DIE ZEIT von dem IT-Sicherheits-Experten Matthias Nehls. Dessen Firma "Deutsche Gesellschaft für Cybersicherheit" war bei Routine-Scans auf den offenen SMB-Server gestoßen. Nehls wandte sich zunächst zwei Mal per Mail an Buchbinder, erhielt nach eigenen Angaben jedoch keine Antwort. Daraufhin informierte der IT-Experte sowohl den zuständigen Landesdatenschutzbeauftragen in Bayern als auch c't und DIE ZEIT.

Die Backups enthielten über 5 Millionen Dateien mit umfangreicher Firmenkorrespondenz samt eingescannter Rechnungen, Verträge, Mails und Schadensbilder von Autos. Es handelt sich dem Augenschein nach um die komplette MSSQL-Firmendatenbank, auf die sich ohne Passwortabfrage zugreifen ließ.

Sie umfasste laut den Analysen von c't und ZEIT über neun Millionen Mietverträge, von 2003 bis heute. Neben den Mietern sind auch die Fahrer mit Namen, Adresse, Geburtsdatum, Führerscheinnummer und -Ausstellungsdatum aufgeführt. Viele haben zudem Mobilfunknummern und E-Mail-Adressen angegeben. Kreditkartennummern fanden sich nicht in der Datenbank, wohl aber Zahlungsinformationen und Bankverbindungen auf PDF-Scans von Rechnungen.

In der ungeschützt zugänglichen MSSQL-Datenbank ließen sich Kunden und Fahrer nach sensiblen Arbeitgebern, Ministerien oder auch Botschaften ausfiltern. Von über 3 Millionen Mietern der vergangenen 18 Jahre stammten rund 2,5 Millionen aus Deutschland, etwa 400.000 aus Österreich und die übrigen rund 114.000 aus Italien, der Slowakei und Ungarn. Ihnen zugeordnet sind 3,1 Millionen Fahrer aus aller Herren Länder.

Außerdem gab es eine Datenbank mit über 500.000 Unfällen, die bis ins Jahr 2006 zurückreichen. Erfasst wurden dort neben Informationen über die Fahrer der gemieteten Autos auch Namen, Adressen und Kennzeichen von Unfallgegnern sowie eventueller Zeugen samt Telefonnummern. Vereinzelt fanden wir auch Namen und Kontaktdaten von Verletzten und tödlich Verunglückten. Neben Zeit und Ort war auch vermerkt, ob eine Blutprobe von der Polizei angeordnet wurde.

Mitarbeiter und Geschäftskunden wurden ebenfalls erfasst. Zudem fanden wir Login-Informationen von Angestellten und Nutzern der Online-Portale sowie dem Flottenmanagement von Buchbinder. Über 3000 von etwa 170.000 Passwörtern waren im Klartext gespeichert.

Die Authentizität der Kundendatenbank verifizierte c't anhand der Informationen von einem Dutzend Buchbinder-Kunden aus dem Kreis der Angestellten von Heise Medien. Das Datenleck betrifft offenbar auch Personen, die nicht direkt bei Buchbinder gebucht haben. Ein ZEIT-Redakteur, der ein Auto über billiger-mietwagen.de und Car Del Mar gemietet hatte, fand seine persönlichen Informationen ebenfalls in der Datei – obwohl er selbst nicht wissentlich Kunde von Buchbinder war.

Die Buchbinder-Gruppe arbeitet offenbar mit vielen solchen Vermittlern und Vergleichsportalen zusammen, die dafür laut Firmendatenbank eine Provision erhalten. Kunden wissen am Ende mitunter gar nicht, dass ihr Fahrzeug von Buchbinder stammt und ihre Daten dort gespeichert sind. Organisiert werden Fahrzeugvermietungen oft über die Carpartner Nord GmbH. Über Global Rent-a-Car vermittelt Buchbinder zudem weltweit Fahrzeuge.

Oft sind Konfigurationsfehler schuld, wenn Kundendaten im großen Stil im Netz landen. Bereits ein Klick an der falschen Stelle genügt – und schon ist das System auf der ganzen Welt erreichbar. Stellt man einen Dienst ins Netz, ist es nur eine Frage von Minuten oder höchstens Stunden, bis das jemandem auffällt und Zugriffsversuche starten. Wenn ein Datendieb wie bei Buchbinder dabei keinerlei Schutzmechanismen umgehen muss, handelt es sich dabei im juristischen Sinne nicht einmal um einen "Hackerangriff".

Um solch exponierte Systeme aufzuspüren, ist keine Handarbeit nötig: Open-Source-Tools wie der Netzwerkscanner ZMap klopfen in weniger als einer Stunde sämtliche IPv4-Adressen auf offene Dienste ab.

Die Deutsche Gesellschaft für Cybersicherheit war auf den offenen Port bei einem ihrer Routine-Scans gestoßen. Die Firma unterhält eine Online-Datenbank namens cyberscan.io, die Firmen bei der Abdichtung eventueller Sicherheitslöcher helfen soll. Die SMB-Freigabe von Buchbinder war aber nicht nur cyberscan.io aufgefallen. Die auf Sicherheitslücken spezialisierte Suchmaschine Shodan.io zeigte den Rechner ebenfalls an – zusammen mit 125 weiteren Servern mit ungeschützten SMB-Freigaben für Backups in Deutschland.

Für Neugierige war der Buchbinder-Server also relativ leicht zu entdecken. Jeder, der wusste, wo er nachzuschauen hatte, konnte sich frei daran bedienen.

Die bei Buchbinder geleakten Daten sind für Cyber-Schurken enorm wertvoll. Es handelt sich um valide Informationen von Millionen Bürgern – einschließlich Name, Firmenzugehörigkeit, Anschrift, Geburtsdatum, Telefon- und Führerscheinnummer. Im Unterschied zu Daten, die Nutzer etwa für die Teilnahme an einem Gewinnspiel angeben, müssen die bei Buchbinder hinterlegten Daten echt sein, damit es zum Abschluss eines gültigen Mietvertrags kommen kann.

Den größten Schaden hat gewiss Buchbinder: Die Kundendaten gehören zu den größten Schätzen eines Unternehmens, die Datenbank wurde über mehr als ein Jahrzehnt aufgebaut. Wer jetzt alles darauf Zugriff hatte, lässt sich nicht mehr nachvollziehen. Mitbewerber könnten unbezahlbare Einblicke in die Flotte des Unternehmens erhalten haben. Der Leak dürfte auch zu einem erheblichen Vertrauensverlust seitens der Kunden führen – ganz zu schweigen von etwaigen DSGVO-Bußgeldern und eventuellen Schadenersatzforderungen.

Die erbeuteten Daten könnten sich auf verschiedene Arten missbrauchen lassen. Zunächst geht es ums große Geld: Ein Angreifer könnte etwa gezielt nach Mietvorgängen von Unternehmenskunden suchen, um die persönlichen Kontaktdaten der involvierten Mitarbeiter herauszusuchen. Anschließend könnte er diese Daten nutzen, um im Namen des Mitarbeiters mit dessen Kollegen oder Chef zu kommunizieren, um sich Vertrauen zu erschleichen und sich weiter vorzuarbeiten.

Denkbar wäre auch ein groß angelegter Phishing-Angriff auf Buchbinder-Kunden: Der Täter könnte Phishing-Mails verschicken, die dazu auffordern, die bei der Autovermietung hinterlegten Kreditkartendaten zu aktualisieren. Er könnte vorgeben, dass es bei einer Abbuchung zu einem Problem gekommen ist und sich dabei sogar konkret auf eine Vermietung beziehen. Für die Empfänger wäre eine solche Mail kaum von einer echten zu unterscheiden.

Spam, Phishing, Einkäufe im fremden Namen oder anderer Identitätsklau stehen erst am Ende der Verwertungskette und könnten noch Jahre später eintreten, wenn der Vorfall längst vergessen ist. Dazu ließe sich die Datenbank etwa in kleinere Häppchen aufteilen. Da viele Kunden einen Wagen auf Geschäftskosten mieten, lassen sich einzelne Personen leicht verschiedenen Firmen, Vereinen und Parteien zuordnen.

Unter den Kunden findet man beispielsweise zahlreiche Prominente aus Sport und Unterhaltung, Spitzenpolitiker von CSU und AfD sowie Robert Habeck von den Grünen – mit Privatadresse, Handynummer und E-Mail-Adresse. Darüber hinaus sind mehrere hundert Angehörige verschiedener Botschaften gelistet – nicht nur aus Deutschland und Österreich, sondern auch aus den USA, Russland, China, Beirut, Israel, Iran, Saudi-Arabien oder auch Nord-Korea.

Dutzende Einträge führen zu Mitarbeitern verschiedener Bundesministerien, darunter ein ehemaliger hochrangiger Beamter des Verfassungsschutzes. Zu den Betroffen zählt unter anderem auch der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI) Arne Schönbohm. Gegenüber den Kollegen von der ZEIT erklärte er: "Der Fall zeigt leider, dass auch sehr sensible personenbezogene Daten immer wieder nur unzureichend geschützt werden. Egal ob ich – wie in diesem Fall – persönlich betroffen bin oder nicht, solche Fälle ärgern mich sehr, weil sie vermeidbar wären."

Betroffen sind auch Mitarbeiter der Polizei und der Bundeswehr. Aus Österreich hatte 2008 sogar ein Mitglied des "Einsatzkommando Cobra Süd" einen Wagen gemietet, eine Art Pendant zur GSG 9 in Deutschland. Aus Deutschland findet man beispielsweise zwei Mitarbeiter von FinFisher, einem öffentlichkeitsscheuen Hersteller von Spionage-Software.

c't und DIE ZEIT informierten Buchbinder am 20. Januar über das Datenleck: "Sofort nach Kenntnisnahme des Sachverhalts haben wir unverzüglich die Schließung der entsprechenden Ports durch unseren mit der Betreuung und Absicherung der Server beauftragten Vertragspartner veranlasst", teilte uns die zur Buchbinder-Gruppe gehörende Terstappen Autovermietung GmbH schriftlich mit. Auf Fragen, wie lange das Datenleck bestand und wie viele Zugriffe es von außen gab, ging das Unternehmen ebenso wenig ein wie auf die Rechtsgrundlage, auf der Kunden- und Unfalldaten weit über zehn Jahre gespeichert wurden.

Aus juristischer Sicht ist ein derart offener Server ein geradezu katastrophaler Verstoß gegen die Vorgaben der DSGVO. Sollten die zuständige Aufsichtsbehörden einen Verstoß gegen die DSGVO feststellen, wäre ein sehr hohes Bußgeld fällig.

Erschwerend kann im vorliegenden Fall sein, wenn besonders sensible personenbezogenen Daten im Sinne von Art. 9 DSGVO betroffen sind, die noch stärker geschützt werden müssen. In der Buchbinder-Datenbank lassen sich beispielsweise Kunden politisch, religiös, nach sexuellen Vorlieben oder Erkrankungen zuordnen. So findet man Fahrten von Kreis- und Landesverbänden aller im Bundestag vertretenen Parteien, wie auch der DKP und NPD. Gelistet sind mehrere Hundert islamische Vereine, Einträge jüdischer Gemeinden wie auch von Schwulen- und Lesben-Vereinen sowie Selbsthilfegruppen von Süchtigen.

Wer wissen will, ob seine Informationen in der Datenbank gespeichert und von dem Leck betroffen sind, kann dies bei Buchbinder erfragen. ...


Aus: "Daten-Leak bei Autovermietung Buchbinder: 3 Millionen Kundendaten offen im Netz" (22.01.2020)
Quelle: https://www.heise.de/ct/artikel/Daten-Leak-bei-Autovermietung-Buchbinder-3-Millionen-Kundendaten-offen-im-Netz-4643015.html

Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10096
  • Subfrequenz Board Quotation Robot
[Datenpannen und Identitätsdiebstahl...]
« Reply #178 on: Januar 28, 2020, 09:25:34 vorm. »
Das Kammergericht ist das oberste Gericht für Straf- und Zivilangelegenheiten im Land Berlin. Es steht über den Amtsgerichten und dem Landgericht. Die 144 Richter verhandeln unter anderem politische Strafsachen wie Spionage und Terrorismus sowie Berufungen, Beschwerden, Revisionen, unterhaltsrechtliche Fragen. Sie können Urteile und Beschlüsse anderer Gerichte aufheben. Das Gericht wird von einem Präsidenten/einer Präsidentin geleitet. Das Kammergericht ist Ausbildungsbehörde für die Rechtsreferendare im Land Berlin. ...
https://de.wikipedia.org/wiki/Kammergericht


-

Quote
[...] Der IT-Supergau am Kammergericht hatte vor vier Monaten seinen Anfang genommen. Am 25. September hatte das IT-Dienstleistungszentrum festgestellt, dass aus den Systemen des Kammergerichts Kontakt mit sogenannten Command-and-Control-Servern hergestellt wurde. Solche Server werden dazu benutzt, um Schadsoftware zu steuern.

Am 1. Oktober wurde dann bei T-Systems ein forensischer Bericht in Auftrag gegeben, mit dem der Umfang des Angriffs festgestellt werden sollte. Dazu wurde am 2. Oktober vor Ort eine Ersteinschätzung erhoben, in deren Verlauf Anzeichen für einen „schwerwiegenden Fall einer Emotet-Infektion“ mit „nicht abzuschätzenden Folgen für das Netzwerk, die Systeme und die Daten des Kammergerichts“ gefunden wurden.

...


Aus: "Möglicherweise gesamter Datenbestand des Berliner Kammergerichts geraubt" Robert Kiesel (27.01.2020)
Quelle: https://www.tagesspiegel.de/berlin/gutachten-zur-virus-attacke-moeglicherweise-gesamter-datenbestand-des-berliner-kammergerichts-geraubt/25477570.html

Quote
marla44 27.01.2020, 19:50 Uhr

Wer sagt eigentlich den ganzen Zeugen und verdeckten Ermittlern jetzt, dass sie ja nichts zu verbergen haben.


Quote
sinnsucher 27.01.2020, 16:39 Uhr

Und das ist nur die Spitze des Eisbergs. ...



Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10096
  • Subfrequenz Board Quotation Robot
[Datenpannen und Identitätsdiebstahl...]
« Reply #179 on: Mai 08, 2020, 02:28:39 nachm. »
Quote
[...] Die Aufregung um personenbezogene Daten in einem Onlineregister ist groß. Regierung und Datenschutzbehörde sind seit Wochen über den Umstand informiert.

Sie wollten schon immer wissen, wo der Bundespräsident haust? Wo andere Politiker wohnen? Das war bis Donnerstagabend tatsächlich einfach möglich. Wie berichtet, gelangte ein Onlineregister in die breite mediale Berichterstattung, in dem private Daten von bis zu einer Million Bürger einsehbar waren. Unter anderem waren Privatanschriften, Geburtsdaten und Angaben zum Steuerprozedere abrufbar. Mittlerweile wurde die Datensammlung offline genommen. Die Neos orten den größten Datenschutzskandal der Republik, die Regierung pocht hingegen auf Gesetzeskonformität.

Tatsächlich ist das sogenannte "Ergänzungsregister" nach Informationen des Wirtschaftsministeriums seit 2004 online – und war seither "immer öffentlich einsehbar". Demnach wurden die Daten von der Finanzverwaltung eingespeist. Das Register geht auf eine von Altkanzler Werner Faymann (SPÖ) erlassene Verordnung zurück, heißt es bei der ÖVP. Bis vor kurzem will man im Ministerium unter Margarete Schramböck (ÖVP) jedenfalls nichts von der Existenz der Datenbank gewusst haben – obwohl sie auf der Seite des Ministeriums zu finden war.

Wie DER STANDARD in Erfahrung bringen konnte, wusste man im Ressort jedoch seit mehr als drei Wochen von dem öffentlichen Zugang zu den Informationen, ohne dass das Register vom Netz genommen worden wäre. Zudem liegt eine Anfrage an die Datenschutzbehörde vom 14. April vor. Die Behörde antwortete darauf sinngemäß, dass das Register laut Verordnung öffentlich zu führen sei.

Vermutlich dürfte man in der Regierung bereits wesentlich früher von der Datenbank gewusst haben, wie Neos-Abgeordneter Douglas Hoyos am Freitag in einer Pressekonferenz betonte. Demnach haben sich in dem Register Gelistete bereits vor sechs Wochen bei einer Zweigstelle der Wirtschaftskammer gemeldet und auf das Problem aufmerksam gemacht. Daraufhin kontaktierten auch die Neos die Datenschutzbehörde und auch die zuständigen Ministerien – "seitdem ist nichts passiert", so Hoyos.

Welche Daten genau in dem System – und vor allem im Hintergrund – gespeichert sind, sei nicht klar, betont Datenschützer Thomas Lohninger von der Grundrechte-NGO Epicenter Works. In vielen Fällen sei der öffentliche Zugriff auf Privatadressen aber äußert bedenklich: Psychotherapeuten etwa, die im Strafvollzug tätig sind, oder Menschen, die mit Stalkern zu kämpfen haben, würden so einer physischen Gefahr ausgesetzt werden. "Für uns war es unverständlich, wie diese Daten jemals an die Öffentlichkeit kommen konnten."

Zudem besteh das Problem des Datenhandels und Identitätsdiebstahls, sagt Lohninger. Laut dem Experten kann man mit Name, Geburtsdatum und Privatadresse "relativ viel anfangen".

Seit Donnerstagnacht ist die Homepage jedenfalls offline, aus "Verantwortungsbewusstsein", wie es aus dem Kabinett Schramböck heißt. Wieso das Register dann nicht gleich nach Bekanntwerden für die Öffentlichkeit gesperrt wurde? Vor Donnerstagabend habe "de facto niemand" das Register gekannt, heißt es aus dem Ministerium. Es gebe eine rechtliche Grundlage dafür und damit "keinen Grund, es offline zu nehmen".

Am Donnerstagabend habe man sich dann doch dafür entschieden, das Register offline zu nehmen, weil sich die Zugriffe auf einmal gehäuft hätten, heißt es im Wirtschaftsministerium. Technische Probleme seien ein Grund dafür gewesen, dass die Seite zeitweise nicht aufrufbar war.

Ans Licht der Öffentlichkeit geriet das Register durch das Prozedere zum Härtefallfonds. Für die Einreichung mussten Selbstständige eine Nummer angeben, die über die Datenbank bis zuletzt einsehbar war. Erst dadurch hätten viele Betroffene erfahren, dass sie in der öffentlichen Datenbank geführt werden, sagt Hoyos.

Die Wirtschaftskammer (WKO), über die die Abwicklung des Fonds geschieht, betonte auf Anfrage jedoch, dass es keine "technische Schnittstelle" zwischen der Härtefall-Applikation und dem Register gebe, das Register liege nicht im Wirkungsbereich der Kammer. Mittlerweile ist die Nummer für den Antrag jedenfalls nicht mehr notwendig, heißt es bei der Kammer.

Dass es keine Verbindung zur WKO gibt, sieht man bei den Neos anders. Aus den Logdaten gehe hervor, dass die Wirtschaftskammer Daten in das Register einfügt, es sei allerdings nicht ersichtlich, ob die WKO auch auf die Datenbank zugreife. Wer die Datenbank in der Vergangenheit nutzte, bleibt vorerst ungewiss. Diese wird seit 2010 von der Statistik Austria gehostet, das sei gesetzlich so vorgesehen, heißt es aus dem Amt. Laut Statistik Austria gab es im Schnitt "200 bis 300 Abfragen pro Tag", durch den Härtefond sei es punktuell zu Spitzen von bis zu 70.000 Abfragen gekommen. Informationen dazu, aus welchen Ländern die Zugriffe stammen, lägen noch nicht vor.

Während die Neos sich "sehr glücklich" zeigten, dass die Datenbank mittlerweile nicht mehr zugänglich ist, kontert die ÖVP mit scharfer Kritik. Klubobmann August Wöginger sprach in einer Aussendung von einem "peinlichen Irrtum" der Pinken. Diese würden versuchen, "in künstlicher Aufregung einen Skandal zu basteln". Die 2009 erlassene Verordnung regle klar, dass das Register öffentlich zu führen sei, so Wöginger. "Es gibt aus unserer Sicht kein klares Gesetz, wieso das öffentlich zugänglich ist", kontern die Neos. "Jeder, der nur ein Grundverständnis von Datenschutz hat, sieht sofort, dass da etwas faul ist."

Wie soll es nun weitergehen? Man werde sich die Sache natürlich genau anschauen, heißt es aus dem Wirtschaftsministerium. "Vermutlich werden wir das Register überarbeiten." Wer genau in der Datenbank geführt wird, konnte eine Sprecherin des Ministeriums dem STANDARD nicht beantworten.

Fest steht jedenfalls, dass nicht nur Unternehmer in dem Register landen. Dem STANDARD sind mehrere Fälle bekannt, in denen gelistete Personen in der Vergangenheit keiner selbstständigen Tätigkeit nachgegangen sind.

Aus datenschutzrechtlicher Sicht sei das Register prinzipiell nicht zu beanstanden, sagt der Rechtsanwalt Markus Dörfler. "Ob es sinnvoll ist, dieses Register (wie auch das Vereinsregister oder das Firmenbuch) öffentlich im Internet abrufbar zu machen, ist eine politische Frage." Die mangelhafte Transparenz – also dass Personen in dem Register eingetragen sind, aber darüber nicht in Kenntnis gesetzt werden – könnte nach Ansicht des Juristen tatsächlich einen Verstoß gegen die Datenschutzgrundverordnung darstellen. "Da die wenigsten Personen, die im Ergänzungsregister eingetragen sind, Kenntnis über das Ergänzungsregister haben, scheint die öffentliche Verwaltung diese Pflicht nicht ordnungsgemäß wahrgenommen zu haben." Da das Register nicht mehr online verfügbar ist, sei in Verstoß derzeit nur schwer zu prüfen.

Insgesamt gibt es laut Dörfler jedenfalls "zig Fälle", wieso man in diesem Register aufscheinen könnte. Als Beispiel nennt er die Registrierungspflicht für die Haltung von Schweinen, Schafen und Ziegen. Die Verordnung sieht vor, dass Tierhalter eine Stammzahl bekanntgeben müssen, diese sei die Vereinsregisternummer, die Firmenbuchnummer oder die Ordnungsnummer des Ergänzungsregisters für sonstige Betroffene.

Aus Kreisen des Ministeriums ist jedenfalls zu hören, dass eigentlich eine Novellierung des Registers angedacht war, diese sei schon relativ gut vorbereitet gewesen. Aufgrund der Corona-Pandemie wurden dahingehende Arbeiten aber offenbar nach hinten geschoben. (Nora Laufer, 8.5.2020)


Aus: "Register einsehbar - Für ÖVP sind hunderttausende Daten im Netz "künstliche Aufregung"" Nora Laufer (8. Mai 2020)
Quelle: https://www.derstandard.at/story/2000117369798/fuer-oevp-sind-hunderttausende-daten-im-netz-kuenstliche-aufregung

Datenschutz: Hunderttausende Adressen von Bürgern in Onlineregister auffindbar
Register gibt tiefe Einblicke: Unter anderem sind Privatadressen von heimischen Politikern gelistet – Ministerium sieht kein Datenleck
Nora Laufer 7. Mai 2020, 19:29
https://www.derstandard.at/story/2000117351903/gigantisches-datenleck-hunderttausende-adressen-von-buergern-im-netz-auffindbar