Datensätze über 40 Millionen Menschen illegal im Handel

Ein britischer Medienbericht gibt neue Einblicke in den weltweit florierenden illegalen Handel mit personenbezogenen Daten. Laut der Times hat ein früherer britischer Polizist eine Datenbank erstellt, die sensitive Einträge über 40 Millionen Menschen weltweit umfasst. Gefüttert habe der einst im Betrugsdezernat tätige Ex-Ermittler die Sammlung allein mit Informationen, die in Internetforen rechtswidrig angeboten werden. Darunter sollen sich Finanzinformationen einschließlich Kreditkarten- und Kontonummern befinden, Telefonnummern, Adressen, Geheimnummern, Nutzernamen oder Passwörter. Enthalten seien auch Angaben über etwa vier Millionen Briten.

Die Daten stammen angeblich vor allem aus Phishing-Raubzügen oder Hackerangriffen auf die Computersysteme von Firmen. Aber auch britische Behörden und Einrichtungen bis hin zu Polizei und Militär sind bekannt dafür, personenbezogene Informationen immer wieder zu "verlieren". Unter den Betroffenen, die in der weltweit angeblich einmaligen Datenbank erfasst sind, sollen sich hauptsächlich US-Bürger befinden. Einzelne ihrer Kreditkartendetails würden für wenige Cent über Untergrund-Foren im Netz verscherbelt.

Colin Holder, der Inhaber der prekären Datensammlung, hat nach eigenen Angaben rund 160.000 britische Pfund in die vier Jahre alte Unternehmung investiert. Quellen seien gegen Cyberkriminelle kämpfende Aktivisten und Mitglieder der Öffentlichkeit. Seine Kosten will der Ex-Cop wieder einspielen, indem er die Datenbank gegen Gebühr öffentlich zugänglich macht. Jeder Interessierte könnte dann prüfen, ob die Sicherheit seiner einschlägigen Daten bereits kompromittiert wurde. Holder ist zudem im Gespräch mit dem britischen Datenschutzbeauftragten. Dessen Büro prüft derzeit den Plan und hat nach eigenen Angaben bereits erste Hinweise gegeben, wie die sogenannte "Lucid Intelligence"-Datenbank mit den Anforderungen des britischen Datenschutzrechts in Einklang gebracht werden könnte. Datenschützer anderer Länder haben sich offenbar mit dem Projekt noch nicht beschäftigt.

Die britische Polizei und Sicherheitsexperten, die mit der Datenbank vertraut sind, schätzen das Risiko für umfangreiche Identitätsdiebstähle durch die enthaltenen Informationen als gering ein. Sie weisen aber darauf hin, dass selbst die Sammlung reiner E-Mail-Adressen für Spammer interessant sei. Ein betroffener britischer Bürger forderte eine stärkere Verfolgung der Online-Betrüger durch die Finanzinstitute und die Sicherheitsbehörden.

Hierzulande schätzten Datenschützer im Rahmen des Skandals um illegalen Datenhandel im vergangenen Sommer, dass Namen- und Adressangaben der gesamten bundesdeutschen Bevölkerung für Marketingzwecke im Umlauf seien. Zugleich würden etwa 10 bis 20 Millionen Kontodaten illegal in der Call-Center-Branche und auf Handelsplattformen im Internet vagabundieren, hatte es damals geheißen. Die Bundesregierung startete in Folge den Anlauf, die Weitergabe personenbezogener Daten für Werbung und Marketing nur noch mit expliziter Einwilligung der Betroffenen zu erlauben. Von dieser geplanten strengen Opt-in-Regelung ist im Bundestag bei der letztlich verabschiedeten Datenschutzreform aber nicht mehr viel übrig geblieben. (Stefan Krempl) / (Stefan Krempl) / (pmz/c't)