Zahlreiche Datenlecks erschütterten Österreich. Um Informationen sicher zu lagern, müssen mehrere Faktoren zusammenpassen. Die beste Planung scheitert aber oft an Fahrlässigkeit.

Die vergangene Woche war ein regelrechter Albtraum für Datenschützer. Fast täglich wurde man mit Schreckensmeldungen bombardiert: 25.000 Polizistendaten und 600.000 Krankenkassendaten schwirren im Internet. Server von österreichischen Behörden, wie etwa das Zentrale Melderegister, lassen sich mit einfachsten Mitteln durchforsten. Und kürzlich tauchte noch eine Festplatte einer Rettungsorganisation mit Patientendaten und Unfallfotos auf. Dieser letzte Vorfall wurde überhaupt nur bekannt, weil die Platte in die Hände einer Datenrettungsfirma gelangte, die beteuert, die Informationen jetzt sachgerecht vernichtet zu haben. Aber viele solcher Problemfälle bleiben wohl unerkannt.

1. Wer besitzt heikle Daten?

Die Antwort lautet leider: Ziemlich viele Organisationen. Ob Krankenkasse, Melderegister, Finanzamt oder andere öffentliche Einrichtungen, sobald man mit ihnen zu tun hat, wird ein Datensatz erstellt. Genauso verhält es sich, wenn man im Supermarkt an der Kasse gefragt wird, ob man eine Kundenkarte möchte und brav alle Felder ausfüllt. Oft handelt es sich dabei um vergleichsweise belanglose Daten, die man auch im Telefonbuch findet. Ärzte und Krankenhäuser speichern aber auch Krankengeschichten, Medikation oder ähnliche, sehr intime Details. Auch die Daten des Finanzamts oder des Strafregisters werden digital gespeichert.

2. Wie müssen Daten gesichert werden?

Jedes Unternehmen wird durch das Datenschutzgesetz (DSG) verpflichtet, bei personenbezogenen Daten Maßnahmen zur Datensicherheit zu ergreifen. Sinn der Sache ist, die Daten vor unberechtigtem Zugriff oder eine unerlaubten Weitergabe zu schützen. Auch soll dadurch gewährleistet werden, dass die Daten nicht zufällig oder unrechtmäßig zerstört werden. Wie diese Maßnahmen umgesetzt werden, müssen die Organisationen selbst beurteilen, indem sie Risiko, Schutzmöglichkeiten und Kosten einander gegenüberstellen. Bei einem Verstoß gegen diese Vorschrift droht eine Verwaltungsstrafe von bis zu 10.000 Euro pro Fall.

3. Einmal im Internet, immer im Internet?

Digitale Informationen haben kein Ablaufdatum. Sobald sich etwas verlustfrei und unbeschränkt vervielfältigen lässt, ist die Verbreitung dieser Informationen kaum aufzuhalten. Daher müssen Firmen und Behörden, die sensible Daten auf ihren Servern lagern, besonders vorsichtig damit umgehen. Genauso verhält es sich auch mit E-Mails, die man (unbedacht) verschickt.

4. Wie kommen Hacker an Daten?

Es gibt mehrere Einfallstore. Bei dem Angriff auf Partei-Websites und die ORF-Gebühreneintreiber GIS nutzten die Hacker von Anonymous Sicherheitslücken in deren Servern. Teilweise waren diese Fehler schon seit Jahren in der IT-Branche bekannt. Die Datendiebstählen waren also ein fatales Versäumnis der Betreiber. Eine weitere Methode ist "Denial of Service" (DoS). Dabei wird ein Zielrechner mit immensen Mengen an Datenmüll geflutet, bis er in die Knie geht. Dabei öffnet sich kurzzeitig eine Gelegenheit, um die Kontrolle über den Server zu übernehmen.