Datenleck bei der Sparkasse

Die Daten der anderen

Und wieder Lecks, nun bei der Sparkasse und beim Buchhändler Libri. Das zeigt, wie dringend es den besseren Datenschutz braucht, den Innenminister de Maizière ankündigt.

© Michael Gottschalk/ddp

Geschworen hat er es nicht, aber Innenminister Thomas de Maizière will den Datenschutz verbessern.

Derzeit scheint keine Woche zu vergehen, in der nicht neue Datenlecks und Spähmöglichkeiten auftauchen. SchülerVZ hat es vor kurzem getroffen, dann die Rechnungsdatenbank des Buchversenders Libri.de, nun also auch die Sparkassen.

Das Blog Netzpolitik berichtet, im Online-Shop der Sparkassen sei es ohne Probleme möglich gewesen, Hunderttausende Rechnungen einzusehen, samt den dort enthaltenen Daten wie Name, Adresse, Zahlungsweise und, wenn die Kunden Bankeinzug genehmigt hatten, auch die Kontonummer.

In dem Online-Shop kann man Chipkartenlesegeräte kaufen, Taschenkalender oder die Onlinebankingsoftware "Star Money". Betrieben wird er vom Deutschen Sparkassenverlag und ist über www.sparkasse.de erreichbar. Wer sich einloggte, konnte aufgrund einer Lücke im System auch jene Rechnungen sehen, die anderen Kunden gestellt wurden.

Dazu brauchte es ein kostenloses Programm namens "Firebug". Das ist ein Werkzeug für Webseitenentwickler, mit dem unter anderem der Quellcode einer Seite angezeigt und verändert werden kann. Mit Hilfe des Programms ließ sich der Quellcode so verändern, dass man sich nicht nur die Seite mit der eigenen Rechnungsnummer aufrufen konnte, sondern eben auch die andere´r Rechnungsnummern. Wenn man im Quellcode die Nummer änderte, lud der Browser die dazugehörende Rechung aus der Datenbank nach – zeigte also fremde Rechnungen an.

Einzelne Abfragen sind das eine, schließlich kann man im Supermarkt auch einen Kassenbeleg aus dem Papierkorb fischen. Wer aber im Netz ein kleines Programm verwendete, ein sogenanntes Script, konnte – wie auch im Fall SchülerVZ – ohne große Mühe alle verfügbaren Rechnungen aus der Datenbank laden und speichern. In der Datenbank des Sparkassen-Shops liegen 350.000 Rechnungen. Das sind viele Kontonummern.

Leider passiert so etwas inzwischen ziemlich oft. Je stärker der Handel über das Internet wächst, desto mehr solcher Shops gibt es, und desto häufiger führen Programmier- oder Planungsfehler zum Verlust großer Datenmengen. So konnte sich, wer wollte, bei Libri.de anschauen, für welche Bücher sich andere Menschen in den vergangenen 16 Monaten so interessierten.

Deutlich machen solche Lecks vor allem eines: Datenschutz ist ein zentrales Thema der Informationsgesellschaft und müsste jeden interessieren. Oder, wie es ein Leser bei Netzpolitik in den Kommentaren ausdrückt: "Verdammt! Bis jetzt hat mich die ganze Datenschutzsache nicht betroffen. Bei Libri hab ich nie bestellt und mein SchülerVZ Account wurde nie ausgefüllt (...). Aber jetzt trifft es mich wie ein Schlag. Ich (...)  möchte verdammt noch mal meine Privatsphäre, vor allem bei meiner Bank!"