Manuela Meyer (Name geändert) staunte nicht schlecht: Als sie bei der Personensuchmaschine Yasni nach ihrem Namen suchte, fand sie gleich ihre komplette Anschrift einschließlich Telefonnummer und E-Mail-Adresse. "Im ersten Moment dachte ich nur: Warum steht meine Adresse da? Ich bin doch nicht so dämlich und schreib die ins Netz." Erst nach einigem Nachdenken wurde ihr die Quelle klar: Sie hatte sich bei dem Stuttgarter IT-Dienstleister Circular beworben. Ein Fehler in der Programmierung der Webseite hat offenbar dazu geführt, dass die Daten der Stellenbewerber über Monate frei im Netz standen, wo sie von Google entdeckt und abgespeichert wurden.

Fachleute nennen das "unintentional information disclosure" - die unbeabsichtigte Veröffentlichung von Daten.  Man benötigt keine Hacker-Kenntnisse, um solche Daten abzurufen. Oft reicht schon eine simple Suchmaschinenabfrage, um zufällig über Datenbestände zu stolpern, die in der Öffentlichkeit nichts zu suchen haben: E-Mail-Adressen, Geburtsdaten, Hausanschriften.

Manuela Meyer hatte denn auch keine Schwierigkeiten, die Daten der anderen Bewerber zu finden. Sie lagen - fein säuberlich nach Monaten sortiert - offen im Web. Diese Datenlücke zu schließen erwies sich als nicht so einfach. Erst nach mehreren Anfragen, schildert die Betroffene, habe die Firma wenigstens das interne Verzeichnis für den allgemeinen Zugriff gesperrt - die einzelnen Dateien blieben aber weiter frei zugänglich.

Erst als ZEIT Online die Firma darauf aufmerksam machte, dass auch E-Mails mit Kundenanfragen für jedermann im Web abrufbar waren, aktivierte die Firma einen Passwortschutz. Diese Lösung ist allerdings nur ein Notbehelf: Eigentlich haben solche sensiblen Daten auf einem öffentlich zugänglichen Webserver überhaupt nichts verloren. Peinlich: Spezialität der Firma ist laut Eigenwerbung die Erstellung und Umsetzung von "individuellen IT-Sicherheitskonzepten".

Die Sicherheitslücke auf den eigenen Seiten möchte der Anbieter von Sicherheitskonzepten denn auch am liebsten totschweigen. Wie lange die Daten offenlagen und ob die Betroffenen informiert werden - kein Kommentar. Für die Bewerberin Meyer ist der Ausgang unbefriedigend: "Mein Vertrauen in Onlinebewerbungen ist massiv erschüttert. Wenn man sich nicht einmal auf Security-Firmen verlassen kann – auf wen dann?"

Oft liegt dem "unintentional information disclosure" ein Missverständnis zugrunde. "Dass eine Seite nicht verlinkt ist, bedeutet nicht, dass Google sie nicht findet. Die Suchmaschine hat viele Quellen", sagt Johann-Peter Hartmann, Geschäftsführer der Kölner IT-Sicherheitsfirma Sektion Eins, die sich auf das Aufspüren von unsicheren Webseiten spezialisiert hat. Eigentlich sei mindestens seit dem Jahr 2000 bekannt, dass man vertrauliche Informationen nicht einfach auf einen Webserver stellen könne - doch überall hat sich das noch nicht herumgesprochen.

Kein Wunder: "Häufig ist die Administration der Webseite nur der Zweit- oder Drittjob eines Technikers", erklärt Hartmann. Die Administratoren haben schlichtweg keine Zeit, sich intensiv mit Sicherheitslücken und Datenschutz auseinanderzusetzen. Das hat Folgen: Laut der "Web Hacking Incidents Database" sind 17 Prozent der Angriffe im Netz auf solche Lücken zurückzuführen. Die meisten Angreifer suchen nach vertraulichen Daten, die sie zum Identitätsdiebstahl - oder schlichtweg zum Aufbau von Spam-Datenbanken brauchen. "Jede E-Mail-Adresse, die per Google zu finden ist, ist garantiert in den Spammer-Datenbanken", sagt Hartmann.