Menü

Verlustfälle bei Kundendaten nehmen zu

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 51 Beiträge
Von

Laut einem Bericht des Identity Theft Resource Center in San Diego beläuft sich die Zahl der 2008 öffentlich einsehbaren Fälle von Datenverlusten in den USA bereits auf 449. Im Vergleich dazu seien im gesamten Jahr 2007 "nur" 446 entsprechende Vorkommnisse gelistet worden. Von den Sicherheitsdebakeln betroffen gewesen sein sollen im vergangenen Jahr Datensätze von 127 Millionen Kunden. Allein 90 Millionen davon gehen auf das Konto der Handelskette TJX mit ihren Discountern der Marke T.J. Maxx. In diesem Jahr ist bislang von 22 Millionen verlustig gegangenen Verbraucherdatensätzen die Rede. Die tatsächliche Zahl dürfte aber deutlich höher liegen, da nur in 41 Prozent der Fälle konkrete Angaben über die betroffenen Kundendaten gemacht worden sind.

Generell gehen die Experten für Identitätsdiebstahl aus Kalifornien davon aus, dass es sich bei den gemeldeten Datenverlusten nur um die Spitze des Eisbergs handelt. Rund 44 US-Bundesstaten haben derzeit laut Washington Post Gesetze, wonach Sicherheitsverletzungen und der Abfluss persönlicher Informationen gemeldet werden müssen. Doch nur Maryland, New Hampshire und Wisconsin machen diese Angaben auch von sich aus öffentlich. Dazu kommt, dass viele Firmen oder Behörden von Einbrüchen in ihre Datenbanken gar nichts mitbekommen oder sie widerrechtlich unter den Teppich zu kehren versuchen.

"Die Zahl der Angriffe steigt zusätzlich zu den öffentlich gemachten Sicherheitsbrüchen ständig an, während kriminelle Netzwerke in der ganzen Welt aus dem Boden schießen und Volkswirtschaften einbrechen", warnt Avivah Litan von der Beratungsgesellschaft Gartner. Nötig seien daher stärker aufeinander abgestimmte Bemühungen zwischen Firmen, Kundendaten unabhängig von staatlichen Kontrollverpflichtungen zu sichern und zu schützen. In den vergangenen Wochen habe allein der Secret Service die Untersuchung einer Cybercrime-Gang angekündigt, die Zehntausende Konten mit einem Schaden von insgesamt über einer Million US-Dollar mit Daten von Kredit- und Bankkarten geplündert haben soll, die sie in Restaurants in Louisiana und Mississippi ergaunert habe. Anfang August seien zudem 11 Verdächtige angeklagt worden, die von US-Einzelhändlern über 40 Millionen entsprechende sensible Konteninformationen geklaut haben sollen.

Fast 13 Prozent der Datenschutzdebakel schreibt das Identity Theft Resource Center Hackereinbrüchen zu, während in 15,6 Prozent der Fälle intern von Mitarbeitern gestohlen worden seien. Verlorene Laptops und andere digitale Speichermedien mit Verbraucherdaten sollen für weitere 21 Prozent verantwortlich sein. 14 Prozent gehen den Angaben nach auf die unbeabsichtigte Veröffentlichung und Verbreitung sensibler Kundeninformationen zurück, 11 Prozent auf das Konto externer Dienstleister.

Britischen Medienberichten zufolge haben zudem Regierungseinrichtungen des Vereinigten Königsreichs innerhalb des vergangenen Jahres Datensätze mit personenbezogenen Informationen von bis zu vier Millionen Bürger verloren habe. Diese Zahl hat die BBC aus den jüngsten, seit Frühjahr nach und nach publizierten Jahresberichten der einzelnen Ministerien zusammenaddiert. Unter die Serie falle etwa der Verlust von 25 Millionen Ansprüchen für Kindergeld auf zwei unverschlüsselten Datenträgern, bei der die Zahl der Betroffenen aber deutlich niedriger gewesen sei als die der verlorenen Datensätze. Erst Anfang vergangener Woche habe ferner das Justizministerium zugegeben, dass ihm übers Jahr hinweg Datensätze zu 45.000 Personen abhanden gekommen seien. Ende der Woche hieß es, dass das Innenministerium einen USB-Stick mit zehntausenden Informationen von Schwerverbrechern vermisse.

Hierzulande ist unterdessen ein über unerwünschte Werbeanrufe eines Möbelhauses empörter Verbraucher das Ausmaß der Weitergabe seiner Daten einschließlich Anschrift und Telefonnummer nachgegangen. Er verfolgte den Weg der Daten über die Deutsche Post, die Datenhändler ACXIOM in Frankfurt und AZ Direct aus dem Hause Bertelsmann in Gütersloh über einen Abstecher nach Straelen zur Firma Direkta bis zur S. Schaedler Software Aktiengesellschaft im Fürstentum Liechtenstein zurück. Während die meisten der Unternehmen einen Eintrag in die Robinsonliste zur Sperrung der Adresse für Marketingzwecke empfahlen, erlaubte sich letztere den Hinweis, dass "wir bei einem heutigen erneuten Blick ins Internet ihre Anschrift – mit Telefonnummer – 'öffentlich' verzeichnet gefunden haben". Ebenfalls befinde sich die Adresse auf mehreren zur Zeit im Handel frei zu erwerbenden Telefon- und Auskunfts-CDs. Es könne daher keine Garantie dafür übernommen werden, "dass Sie von anderen Adresslisten nicht wieder erfasst werden". Bei dem Liechtensteiner Datenverkäufer selbst seien die Angaben im Pool "Altbestand" in der vermutlich vergleichsweise wertlosen Rubrik "Mehrfach im Internet" gespeichert gewesen.

Der Betroffene reklamiert, dass er seine Daten nie "für Werbezwecke" freigegeben habe. Telefonnummer und Adresse seien offenbar aus dem Telefonbuch beziehungsweise dessen digitalen Ablegern entnommen worden. Bisher verlangt das Bundesdatenschutzgesetz einen ausdrücklichen Widerspruch von Verbrauchern gegen den Transfer oder Verkauf solcher personenbezogenen Informationen ohne besonders sensible Angaben wie Kontodaten. Dies wollen Politiker der großen Koalition im Lichte des Datenhandel-Skandals ändern.

Zum Skandal um den illegalen Handel mit Kunden- und Kontendaten siehe auch:

(Stefan Krempl) / (jk)