© Gregor Gruber

freizeit Leben, Liebe & Sex
12/05/2011

Datenlecks: Schwere Kritik an Behörden

Nachdem eine Datei mit über 600.000 Sätzen der Tiroler Gebietskrankenkasse in falsche Hände gelangte, ist die Kritik am Umgang mit sensiblen Daten groß.

Einmal mehr sorgen die Netzaktivisten von Anonymous für Aufruhr. Sie hat sich nicht nur eine Datei mit über 600.000 Datensätzen der Tiroler Gebietskrankenkasse aneignen können, am Mittwochabend gelang gleich der nächste Coup: "Wie mann (sic) zufällig über Datenleaks stolpert", schrieben die Netzaktivisten sarkastisch in einem Twitter-Statement. Betroffen dürften alte Datensätze von Ministerien sein. Die Seiten waren allerdings nach nur wenigen Minuten nicht länger erreichbar.

Die Kritik am fahrlässigen Umgang mit sensiblen Daten ist groß. "In Österreich liegt leider viel im Argen", kritisiert Datenschützer Hans Zeger von der Arge Daten.

Da sie im Gegensatz zur vorangegangen Aktion mit Exekutivdaten bisher keine sensiblen Daten veröffentlicht haben und zudem beteuern, die Daten ohne echten Hack im Web gefunden zu haben, entlädt sich der Großteil der Kritik am laxen Umgang von Behörden und Firmen mit sensiblen Daten. "Immer wieder weisen wir darauf hin, dass viele Systeme nicht einmal die Minimalanforderungen beim Thema Sicherheit beachten. Das ist im Grunde fahrlässig", so Zeger.

Unternehmen zur Datensicherung verpflichtet

Nach dem Datenschutzgesetz (Paragraf 14) sind private Unternehmen und öffentliche Rechtsträger verpflichtet, Maßnahmen zur Gewährung der Datensicherheit zu treffen. Dabei sei sicherzustellen, dass die Verwendung der Daten ordnungsgemäß erfolgt und dass die Daten Unbefugten nicht zugänglich sind, heißt es im Gesetzestext. Sanktionen haben sie aber kaum zu befürchten. Im Fall der Daten der TGKK hätte etwa die Datenschutzkommission (DSK) lediglich die Möglichkeit, der Gebietskrankenkasse zu empfehlen, die Datensicherheit zu erhöhen, sagte Eva Souhrada-Kirchmayer, geschäftsführendes Mitglied der DSK, zur futurezone.

Im schlimmsten Fall droht der Krankenkasse eine Verwaltungsstrafe von 10.000 Euro, wenn sich herausstellen sollte, dass "erforderliche Sicherheitsmaßnahmen" außer Acht gelassen wurden. Dafür sei jedoch die Bezirksverwaltungsbehörde zuständig, so Souhrada-Kirchmayer.

Sicherheits-Pickerl für IT-Systeme

Vom Grundsatz her seien die Datenschutzbestimmungen in Österreich und der EU ausreichend, die großen Defizite ortet Zeger aber in der Umsetzung. "Jedes Auto muss vor der Zulassung geprüft werden. Bei IT-Abteilungen, die für den Schutz von sensiblen Daten zuständig sind, kann eigentlich jeder machen, was er will", kritisiert Zeger. Die Arge Daten fordere deshalb sein Jahren ein vergleichbares Audit-Verfahren, um minimale Datenschutzerfordernisse gewährleisten zu können. Auch ein verpflichtender Datenschutzbeauftragte für Behörden, Organisationen und große Firmen sei eine Option.

Ein solches Verfahren wird in der EU bereits angedacht. Die EU-Kommission prüft Mechanismen, die Unternehmen und Institutionen bescheinigen sollen, dass die notwendigen Sicherheitsvorkehrung getroffen wurden. "Die Auftraggeber sollen in die Pflicht genommen werden", sagt Souhrada-Kirchmayer. Daneben könnte die Datensicherheit auch durch die Erhöhung der Strafen verbessert werden, so die DSK-Geschäftsführerin. Das sei jedoch Sache der Politik.

eine Newsletter Anmeldung Platzhalter.

Wir würden hier gerne eine Newsletter Anmeldung zeigen. Leider haben Sie uns hierfür keine Zustimmung gegeben. Wenn Sie diesen anzeigen wollen, stimmen sie bitte Piano Software Inc. zu.

Jederzeit und überall top-informiert

Uneingeschränkten Zugang zu allen digitalen Inhalten von KURIER sichern: Plus Inhalte, ePaper, Online-Magazine und mehr. Jetzt KURIER Digital-Abo testen.