Bundesagentur für Arbeit Datendiebe jagen nach persönlichen Informationen

Ob die Daten von SchülerVZ, Postbank-Kunden oder nun der Jobsuchenden der Arbeitsagentur - was könnten die Datendiebe mit diesen Informationen eigentlich anfangen?

Erst SchülerVZ, dann die Postbank und nun die Agentur für Arbeit: Derzeit häufen sich Fälle, in denen es Außenstehenden gelingt, auf vermeintlich geschützte Daten aus Internetportalen oder sozialen Netzwerken zuzugreifen.

Eine arbeitslose Sozialarbeiterin hatte die Süddeutsche Zeitung darauf gestoßen, dass bei der Jobbörse der Arbeitsagentur theoretisch jeder auf Bewerbungsunterlagen zugreifen kann, und zwar unabhängig davon, ob er Arbeitgeber ist. Auch die Job-Webseite des Guardian ist kürzlich Opfer eines Hacker-Angriffs geworden. Die Zeitung hat mittlerweile E-Mails an rund 500.000 Menschen verschickt, mit dem Hinweis, dass sie potenziell von diesem Angriff betroffen sein könnten.

Im Fall von Bewerberdaten sind Datenlecks besonders schmerzlich. Schließlich handelt es sich bei den Betroffenen oft um Menschen, die schon länger verzweifelt nach einem Job suchen. "Es darf nicht sein, dass sensible Bewerberdaten in falsche Hände geraten", sagt der Bundesdatenschutzbeauftragte Peter Schaar in der Süddeutschen Zeitung. Dies ließe sich mit dem Sozialdatenschutz nicht vereinbaren.

Was fängt ein Krimineller mit solchen Daten eigentlich an? Bei SchülerVZ ging es den Angreifern offensichtlich darum, auf bestehende Sicherheitslücken aufmerksam zu machen, sagt Bernhard Rohleder, Hauptgeschäftsführer des Branchenverbands BITKOM. Er schätzt, dass bei der Hälfte aller Fälle, die öffentlich bekannt werden, keine verbrecherischen Absichten dahinter steckten. Im Fall der Arbeitsagentur sagt er sogar deutlich: "Dass jemand solche Daten anfordert, hat nichts mit dem Internet zu tun." Jeder könne theoretisch eine Zeitungsannonce aufgeben und sich Bewerbungen zuschicken lassen. Er will deshalb auch nicht von einem Datenmissbrauch sprechen.

Ein Missbrauch sei aber sehr wohl gegeben, wenn wie bei SchülerVZ massenhaft und automatisiert Daten ausgelesen werden. "Hier haben Daten im Internet nämlich in der Tat eine völlig andere Qualität als auf bedrucktem Papier", sagt Rohleder.

Technisch sei es allerdings sehr gut möglich, sich gegen sogenannte Daten-Crawler zu wehren, wie sie vermutlich bei SchülerVZ zum Einsatz kamen. Crawler sind Programme, mit denen die Datendiebe blitzschnell automatische Datenabfragen starten. Und das ließe sich unterbinden, indem man eine Datenbank verschließe, sobald diese bemerke, dass der Zugriff in viel zu kurzen Intervallen erfolge. Denn sobald im Gegensatz zu einem Menschen eine Maschine Bewerberdaten anfordert, tut sie das in viel kürzeren Abständen, sagt Rohleder.

Im Fall der Bewerberdaten fragt er jedoch, ob überhaupt jemand etwas mit den Daten anfangen könne. "Jedes Unternehmen hortet potenziell Hunderte von Bewerbungsmappen", sagt er. Man müsse immer unterscheiden, welche Daten kopiert werden. Die Schuhgröße sei sicher nicht so relevant wie persönliche Gesundheitsdaten.

Dennoch sieht auch Rohleder einen Trend bei organisierten Kriminellen, sich persönliche Identitäten von Internetnutzern zu verschaffen. Diese Szene professionalisiere sich zunehmend und verfüge über herausragende Intelligenz. In vielen Fällen handele es sich um studierte Informatiker, die auf die schiefe Bahn gekommen seien. Diese Kriminellen könnten zu Unrecht an Bewerberdaten gelangen, "etwa um persönliche Kontakte anzubahnen", mutmaßt Schaar.

Und Klaus Jansen, Bundesvorsitzender des Bunds Deutscher Kriminalbeamter, spricht davon, dass Kriminelle eine schwierige, finanzielle Situation ausnutzen könnten, um windige Geschäfte anzubahnen. In den herausgelesenen Datenbanken von SchülerVZ sieht er potenziell gar "ein gefundenes Fressen für Pädophile". Dass es nicht ganz so leicht sein könnte, aus diesen Daten Gewinn zu schlagen, mag zumindest der klägliche Versuch des Hackers von SchülerVZ nahelegen, den Betreiber der Seiten um 80.000 Euro zu erpressen.