Manuela Meyer (Name geändert) staunte nicht schlecht: Als sie bei der Personensuchmaschine Yasni nach ihrem Namen suchte, fand sie gleich ihre komplette Anschrift einschließlich Telefonnummer und E-Mail-Adresse. "Im ersten Moment dachte ich nur: Warum steht meine Adresse da? Ich bin doch nicht so dämlich und schreib die ins Netz." Erst nach einigem Nachdenken wurde ihr die Quelle klar: Sie hatte sich bei dem Stuttgarter IT-Dienstleister Circular beworben. Ein Fehler in der Programmierung der Webseite hat offenbar dazu geführt, dass die Daten der Stellenbewerber über Monate frei im Netz standen, wo sie von Google entdeckt und abgespeichert wurden.

Fachleute nennen das "unintentional information disclosure" - die unbeabsichtigte Veröffentlichung von Daten.  Man benötigt keine Hacker-Kenntnisse, um solche Daten abzurufen. Oft reicht schon eine simple Suchmaschinenabfrage, um zufällig über Datenbestände zu stolpern, die in der Öffentlichkeit nichts zu suchen haben: E-Mail-Adressen, Geburtsdaten, Hausanschriften.

Manuela Meyer hatte denn auch keine Schwierigkeiten, die Daten der anderen Bewerber zu finden. Sie lagen - fein säuberlich nach Monaten sortiert - offen im Web. Diese Datenlücke zu schließen erwies sich als nicht so einfach. Erst nach mehreren Anfragen, schildert die Betroffene, habe die Firma wenigstens das interne Verzeichnis für den allgemeinen Zugriff gesperrt - die einzelnen Dateien blieben aber weiter frei zugänglich.

Erst als ZEIT Online die Firma darauf aufmerksam machte, dass auch E-Mails mit Kundenanfragen für jedermann im Web abrufbar waren, aktivierte die Firma einen Passwortschutz. Diese Lösung ist allerdings nur ein Notbehelf: Eigentlich haben solche sensiblen Daten auf einem öffentlich zugänglichen Webserver überhaupt nichts verloren. Peinlich: Spezialität der Firma ist laut Eigenwerbung die Erstellung und Umsetzung von "individuellen IT-Sicherheitskonzepten".

Die Sicherheitslücke auf den eigenen Seiten möchte der Anbieter von Sicherheitskonzepten denn auch am liebsten totschweigen. Wie lange die Daten offenlagen und ob die Betroffenen informiert werden - kein Kommentar. Für die Bewerberin Meyer ist der Ausgang unbefriedigend: "Mein Vertrauen in Onlinebewerbungen ist massiv erschüttert. Wenn man sich nicht einmal auf Security-Firmen verlassen kann – auf wen dann?"

Oft liegt dem "unintentional information disclosure" ein Missverständnis zugrunde. "Dass eine Seite nicht verlinkt ist, bedeutet nicht, dass Google sie nicht findet. Die Suchmaschine hat viele Quellen", sagt Johann-Peter Hartmann, Geschäftsführer der Kölner IT-Sicherheitsfirma Sektion Eins, die sich auf das Aufspüren von unsicheren Webseiten spezialisiert hat. Eigentlich sei mindestens seit dem Jahr 2000 bekannt, dass man vertrauliche Informationen nicht einfach auf einen Webserver stellen könne - doch überall hat sich das noch nicht herumgesprochen.

Kein Wunder: "Häufig ist die Administration der Webseite nur der Zweit- oder Drittjob eines Technikers", erklärt Hartmann. Die Administratoren haben schlichtweg keine Zeit, sich intensiv mit Sicherheitslücken und Datenschutz auseinanderzusetzen. Das hat Folgen: Laut der "Web Hacking Incidents Database" sind 17 Prozent der Angriffe im Netz auf solche Lücken zurückzuführen. Die meisten Angreifer suchen nach vertraulichen Daten, die sie zum Identitätsdiebstahl - oder schlichtweg zum Aufbau von Spam-Datenbanken brauchen. "Jede E-Mail-Adresse, die per Google zu finden ist, ist garantiert in den Spammer-Datenbanken", sagt Hartmann.

Lange müssen die Spammer nicht suchen, um vertrauliche Daten zu finden. Eine einfache Suchabfrage nach gebräuchlichen E-Mail-Adressen fördert zahlreiche Listen zutage, die eigentlich nicht im Netz stehen sollten. So haben die Suchroboter von Google zum Beispiel auf der Internetpräsenz des Europaabgeordneten Albert Dess zum Beispiel eine Liste mit 343 E-Mail-Adressen gefunden. Zwar hat der Webmaster das Missgeschick inzwischen bemerkt und den Zugriff auf die Original-Liste gesperrt - im Google-Zwischenspeicher waren sie jedoch noch nachzulesen.

Auf Anfrage von ZEIT Online gibt sich das Büro des Abgeordneten problembewusst. "Wir haben bei Google einen entsprechenden Antrag auf Löschung aus dem Index gestellt, anscheinend dauert es, bis dies wirksam wird. Diesbezüglich haben wir schon einige Male nachgehakt", heißt es in einer E-Mail. Auf die Nachfrage, ob die Betroffenen von der Offenlegung ihrer Daten informiert werden sollen, kommt jedoch keine Antwort mehr. Google hat die Liste inzwischen von seinen Servern gelöscht. Ob die Spammer genau so brav sind, ist eine andere Frage.

Datenschützer fordern seit Jahren eine Aufklärungspflicht von Firmen, wenn ihnen Kundendaten abhandengekommen sind. Bisher können die Behörden nur in Ausnahmefällen tätig werden – pro Bundesland sind nur eine Handvoll Fachleute für die Aufsicht von Zehntausenden Firmen verantwortlich. Wer seine Sicherheitslücken totschweigt, hat eine gute Chance, ungeschoren davonzukommen.

Dass selbst simple E-Mail-Listen brisant sein können, verdeutlicht aktueller Fall:  So wurde in der vergangenen Woche bekannt, dass auf den Servern des Erotikversenders Beate Uhse Tausende von Mailadressen offenlagen. Zwar hat das Unternehmen die Kundendaten des Online-Shops gut geschützt - die Kreditkartenbranche legt Wert auf strikte Sicherheit. Für eine Werbeaktion hatte die Firma jedoch eine separates System aufgebaut. Wer seine E-Mail-Adresse hinterließ, konnte im Dezember einen Online-Adventskalender mit Erotikfilmchen aufrufen. Die Daten wanderten ohne Umwege auf vermeintlich unzugängliche Bereiche des Webservers. Ein Irrtum: Google fand die Adressen und verbreitete sie weltweit. Jeder konnte zufällig darauf stoßen und feststellen, wer von seinen Bekannten, Familienmitgliedern oder Angestellten auf Erotik-Webseiten surft.

In diesem Fall hat sich mittlerweile auch das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein eingeschaltet und Beate Uhse zu einer Stellungnahme aufgefordert. Theoretisch könnten die Datenschützer ein Bußgeld bis zu 250.000 Euro verhängen. Bei individuellen Mitarbeiterfehlern verhängen die Behörden aber lange nicht die Höchststrafe. Ein wirksames Mittel hat die Behörde immerhin schon: Im Fall der Fälle können die Datenschützer die Betroffenen von den Datenverlusten informieren. Dem kommt Beate Uhse nun zuvor: "Die betroffenen Teilnehmer des Gewinnspiels werden von uns eine Mail erhalten, in der wir uns für den Fehler entschuldigen", erklärt eine Unternehmenssprecherin.