Wer noch immer glaubt, das Einsammeln von gewaltigen Datenmengen durch den Staat sei kein Problem, der möge bitte einen Blick nach England werfen. Denn die verschwundenen CDs mit den Informationen von über 25 Millionen Bürgern sind auch ein Lehrstück für Deutschland. Die vergangenen zwei Tage verbrachte ich im Norden Englands auf Dienstreise. Und so war es mir vergönnt, die Berichterstattung über jene Datenverlust-Affäre in voller Breite zu erleben.
Wer es noch nicht gehört hat: Das Finanzministerium hat zwei CDs mit den Daten von 25 Millionen britischer Bürger (vom Geburtsdatum bis zu Kontonummern), die Kindergeld beantragt haben, über einen Post-Kurierdienst verschickt. Empfänger sollte die NAO sein, eine Art öffentlicher Buchprüfer. Und diese Sendung ist dem Dienstleister TNT verloren gegangen.
Es sind die Details, die jene Geschichte noch unglaublicher machen:
– Eigentlich ist der Versand solcher sensibler Daten per CD nicht erlaubt. Trotzdem hat die NAO danach gefragt. Nach einer ersten Lieferung im März wurde dann festgelegt, wie ein Versand per CD erfolgen soll. Allerdings: Sensitive Daten wie Kontonummern sollten entfernt werden.
– Die Daten wurden nicht verschlüsselt, die CDs sind nur per Passwort geschützt.
– Verantwortlich für den Versand war ein junger Mitarbeiter. Wohlgemerkt: jung und allein handelnd. Ein junger und allein handelnder Mitarbeiter ist in der Lage solche Daten einfach mal auf CD zu brennen und einzutüten.
– Der Versand folgte nicht per Einschreiben, sondern schlicht unregistriert. Die Sendung ist somit nicht mehr nachvollziehbar. Die Vorschriften sehen aber eigentlich einen bewachten Kurier-Transport vor.
– Erst drei Wochen, nachdem die CDs verschickt wurden, fragte die NAO an, wo sie denn blieben. Daraufhin wurden sie noch einmal (!) verschickt, diesmal aber als Einschreiben. Immerhin kam die Lieferung dann auch an.
– Auch danach brauchte es noch Tage, bis der Finanzminister informiert wurde und weitere 10 Tage, bis er an die Öffentlichkeit ging.
– Anscheinend gab es im Finanzministerium im vergangenen Jahr über 2.000 Datenschutz-Verstöße. Mehrmals schon wurde bekannt, dass gehörige Mengen Laptops verschwanden.
– Im Herbst 2005 waren dem Finanzministerium schon einmal Daten verloren gegangen, damals die Kontodaten von Kunden der Schweizer UBS-Bank.
– Offensichtlich hat Premier Gordon Brown in seiner Zeit als Finanzminister Warnungen über Datenschutz-Probleme in den Wind geschlagen.
Eine Schlamperei sondergleichen, sicher. Aber was hat sie mit Deutschland zu tun?
Sehr viel. Denn England ist keine Bananenrepublik. Es ist ein Staat, in dem der Staatsschutz eine sehr viel größere Rolle spielt als in Deutschland. In der weit mehr Bürger als in Deutschland der Meinung sind, dass wer nichts zu verbergen habe, auch nichts zu fürchten habe.
Gerade erst hat Premier Brown eine Vision enthüllt, die unter dem Stichwort „Fortress Britain“ diskutiert wird und die Wolfgang Schäuble aussehen lassen, als sei er ein Freund liberaler Bürgerfreiheiten. Es beginnt mit Flughafen-artigen Sicherheitsmaßnahmen an Bahnhöfen, geht weiter mit dem Verbot jemand vor Einkaufszentren abzusetzen, und endet bei einer Flut persönlicher Daten. Künftig sollen Personen, die ins Königreich einreisen, Daten abliefern wie Kreditkarten- und Handy-Nummer, E-Mail-Adresse und detaillierte Reisepläne.
Nochmal zum Mitschreiben: Jeder England-Reisende soll einem Behördenapparat seine Kreditkartennummer geben, der die Daten seiner Mitbürger per unverschlüsselter CD und per Post verschickt.
Dahinter steckt eine Kultur der Technik-Unwissenheit. Behörden glauben, sie könnten die Datenflut bewältigen, weil ihnen der Computer ganz andere Möglichkeiten eröffnet als Aktenordner und Pappmappen. Ein trügerisches Wissen: Denn gleichzeitig sind öffentliche Institutionen quer durch Europa technisch desaströs ausgestattet.
Kürzlich fragte mich solch eine öffentliche Institution, ob ich mir ein anstehendes Projekt anschauen könnte. Ich sah mir ein Demo auf dem Laptop des zuständigen Herren an. Die geplante Investition ist von einiger Größe, entsprechend das Projekt von einiger Wichtigkeit. Das Demo aber war ein überkandideltes und von einer Multimediaagentur entworfenes Teil. Als ich existierende Dienste auf privater Basis nannte, die in ähnlichen Bereich unterwegs sind, sagte mir der Entscheider, dass er ein Problem habe, das zu beurteilen: Denn die Behörden-Firewall blocke ja so gut wie alles. Der Entscheider also kann nicht das beurteilen, worüber er zu entscheiden hat.
So sehen Verwaltungen immer nur die eine Seite. Es fehlt ihnen das Gefühl der Dringlichkeit, geht eine CD mit Daten verloren. Das Gefühl der Bedeutung dieser Informationen für Betrüger, Kinderpornographen (unter den verschwundenen Daten sind sämtliche Geburtsdaten und Wohnorte des englischen Nachwuchses bestimmter Jahrgänge) und Erpresser. Wunderbar verwaltet ihnen ihr Computer die Daten, doch dass es Gefahren wie auch Chancen gibt, das sehen sie nicht. Es fehlt das Wissen, es fehlt das Gespür.
Und die Politiker? Noch schlimmer. Da meint der britische Finanzminister zehn Tage lange nicht informieren zu müssen, obwohl in dieser Zeit schon Kontenzugänge gehackt werden könnten. Wie schnell sich aus persönlichen Daten potenzielle Passwörter generieren lassen – nämlich in Bruchteilen von Sekunden – ist ihm wahrscheinlich nur schwer vorstellbar.
Es braucht keinen Wissenschaftler um vorherzusagen, dass wir uns mit der Datensammelwut der Regierungen, egal ob mit Fragebögen oder biometrischem Pass, in eine gefährliche Situation begeben. Denn je größer die Datenmenge, desto höher die Wahrscheinlichkeit, dass irgendein junger Angestellter (oder Beamter) auf Anfrage einer anderen Organisation sensible Daten auf eine leicht zu knackende CD kopiert und sie in einen Briefumschlag steckt.
Oder noch schlimmer: Dass die Verlockung des Geldes zu einem systematischen Vorgehen führt. Schon jetzt sagt ein Experte:
„If I had to bet I’d say someone internal had been paid to allow that information to be stolen. They knew it was extremely sensitive.“
Nachtrag: Dazu passend eine neue Meldung aus dem Königreich… Ein terrorverdächtiger Arbeitsloser darf sich nicht mit Chemie-Schulwissen weiterbilden. Folgerichtig müsste also jeder englische Schüler ein potenzieller Terrorist sein. Oder vielleicht ein Entführungsziel? Werden islamistische Terrorgruppen bald englische Privatschüler von Internaten rauben, um sie zum Bombenbau zu missbrauchen?
Kommentare
XiongShui 22. November 2007 um 12:54
Pikant. Oder, wie es so gehen kann mit öffentlich gesammelten Daten. Thomas Knüwer berichtet. Trackback: http://buettchenbunt.de/node/545#comment-5021
Alvar Freude 22. November 2007 um 12:55
> Wer noch immer glaubt, das Einsammeln von gewaltigen
> Datenmengen durch den Staat sei kein Problem, der möge
> bitte einen Blick nach England werfen.
nun, generell stimme ich dem zu, wobei man hier aber dazu sagen muss, dass die Ergebung *dieser* Daten für den Zweck der Kindergeldauszahlung wohl im Großen und Ganzen nötig war.
Nur ist es eine Frage des Umgangs. Dass jemand auch nur auf den Gedanken kommt, solche Daten unverschlüsselt per Post zu verschicken, das ist schon sehr bedenklich.
Und soweit ich das mitbekommen habe, hat der Rechnungshof nach nun aktuellem Stand der Dinge um \“desentivisierte\“ Daten gebeten, nur die Steuerbehörde meinte: ein unveränderter Vollauszug sei billiger. Wahrscheinlich waren die durch die Anfrage genervt und sagten sich: dann sollen sich doch die anderen die Arbeit machen.
Das zeigt für mich, dass die offensichtlich überhaupt nicht kapieren, mit welch sensiblen Daten sie umgehen.
Jörg Friedrich 22. November 2007 um 13:38
Weitgehend bin ich deiner Meinung. Nur das Thema \“Öffentlichkeit\“ sehe ich hier anders: Der (zufällige) Finder wird vermutlich gar nicht wissen, was er da in den Händen hält. Erst durch die breite Berichterstattung wir er hellhörig und schaut, was sich draus machen lässt.
Hanno Zulla 22. November 2007 um 14:39
Danke für die klaren Worte. Man verzweifelt ja so langsam daran, dass nur wenige Journalisten diese Themen überhaupt fachgerecht aufgreifen.
Lesenswert dazu:
http://www.daten-speicherung.de/wiki/index.php/F%C3%A4lle_von_Datenmissbrauch_und_-irrt%C3%BCmern
Dr. Dean 22. November 2007 um 16:25
Ich fürchte, es wird erst dann ein Thema, wenn irgendwelche Konten leergeräumt wurden. Bis dahin werden weite Teile der Öffentlichkeit und Politik taub bleiben, im Irrglauben daran, dass man mit dieser Datensammelwut tatsächlich \“präventiv\“ gegen Terror wirken könne.
Minos 22. November 2007 um 19:07
Mich wundert nur, dass die Leute jetzt aufzuwachen drohen. Wie lange ist, durch Rechtsanwalt und Bundesminister a. D.Schily, bekannt dass die Vorratsdatenspeicherung & die Biometrischen Reisepässe kommen (???) Letzteres (Reisepässe) durchlebt er noch immer Ängste, als Vorstand der Firma welche diese Pässe herstellen!
Und der Herr Schäuble? Wie lange Zeit trotzt er schon, obwohl eindeutige Urteile (BGH – BVG) vorliegen, und wettert bis die derzeitige Regierung nachgibt, und die große Koalition fast einstimmig Zustimmt!?
Grundgesetz & Verfassung a.d.
Aber nun wird gewettert & sich aufgeregt, es ist zu SPÄT Leute! Auch ein BVG hat eindeutig Richter mit Parteibuch … Faule Kompromisse werden kommen , wollen wir Wetten!!!
ngf 22. November 2007 um 20:29
\“Folgerichtig müsste also jeder englische Schüler ein potenzieller Terrorist sein.\“
Bingo.
Man beachte auch die Kapriolen deutscher Sicherheitsbehörden in letzter Zeit, z.B. beim G8-Gipfel (Heute schon nach Dussmann gegoogelt?*) oder die Einführung des Hackerparagraphen. Hrm, wie nannte man nochmal einen Staat in dem jedem Bewohner etwas sträfliches vorgeworfen werden kann?
*http://www.heise.de//tp/r4/artikel/25/25318/1.html
Frank Meier 23. November 2007 um 10:28
Mit Daten ist es wie mit Waffen. Irgendwann reicht der Bluff nicht mehr, dann muss man sie auch mal einsetzen. Wofür und wogegen ist zweitrangig.
Harald 23. November 2007 um 12:58
Die Privatwirtschaft ist da auch nicht viel besser mit dem Umgang von sensiblen Daten, fremden und eigenen. Erst vor ein paar Monaten sind einem Ticketservice meine Kreditkartendaten entwendet worden weil ein Server mangelhaft konfiguriert war.
Und vor zwei Jahren habe ich mal einen gebrauchten Laptop erstanden der wie sich schon kurz nach dem ersten Einschalten zeigte zuvor anscheinend dem CFO eines Unternehmensbereichs eines bekannten Konzerns gehörte (der über einen anderen Bereich auch IT Sicherheitstechnik anbietet). Auf dem Gerät war zwar wahrscheinlich auch von einem unbedeutenden Angestellten der Dokumentenordner gelöscht worden, aber leider hatte der Vorbesitzer noch fein säuberlich die archivierten E-Mails der letzten Jahre als Outlook-Dateien im Standardverzeichnis abgelegt, und die Einstellungen zum Blackberry, und und und. Natürlich auch unverschlüsselt. Nur war ich so ehrlich (oder dämlich, je nachdem wie man das sehen mag) statt heimlich gegen Bezahlung zur Presse, zur ausländischen Konkurrenz oder wenigstens (peinlich peinlich) zum Datenschutzbeauftragten des Unternehmens zu gehen schnell wieder auszuschalten und das Büro des Herrn zu kontaktieren um die Daten zurückzugeben und sauber löschen zu lassen.
Matthias Schrade 24. November 2007 um 14:34
@Harald: ja, in der Tat dämlich – damit hätteste (je nach Größe des betreffenden Konzerns) vielleicht genausoviel verdienen können wie der Glückskäufer des Papst-Golfes 😉
Das Problem ist ja, dass man nicht weiß, wie viele solcher Fälle – ob Laptop- oder CD-Verschlamperung – eben NICHT bekannt werden….