Der Umgang deutscher Behörden mit den Paßdaten ihrer Bürger

Wie bereits gestern erwähnt, waren die Paßdaten mehrerer Einwohnermeldeämter frei im Netz abrufbar. Inzwischen ist die Fernsehsendung gelaufen, und allmählich kommen mehr Details ans Licht. Was jedoch im Dunkeln bleibt, ist die Liste der Städte, die betroffen waren - und damit auch der Bürger, der nun keine Ahnung hat, ob seine Daten für Dritte einsehbar waren.

So, wie sich die Panne inzwischen darstellt, ist wohl folgendes passiert: Auf der Webseite des Softwareherstellers befand sich eine Demoversion (momentan deaktiviert - vermutlich wegen des Heise-Rushes) der Behördensoftware. Während der letzten Monate mußte man sich wohl für den Demozugriff anmelden; Name und Passwort waren jedoch (so die Vermutung - im Text heißt es "bei der Mausbewegung über diesen Link") im Link auf die Demoseite als URL-Parameter. Ein Account mit diesen Zugangsdaten wird aber bei der Installation der Software automatisch (als "erster Benutzer") angelegt. In den betroffenen Meldeämtern wurde wohl versäumt, das Kennwort zu ändern oder den Account zu löschen.

Seitens der Medeämter wurde also bei der Administration gepfuscht. Aber auch der Firma ist ein Vorwurf zu machen - sie sollte ihre Clientel soweit kennen, daß so etwas zu befürchten ist. Immerhin liefert selbst Microsoft inzwischen seine Betriebssysteme mit deaktiviertem Gästeaccount aus. Die SZ zitiert den Firmensprecher mit "Da ist uns ein Lapsus passiert" - das ist wohl ein wenig untertrieben, wenn man die Tragweite betrachtet.

Die eigentliche Unverschämtheit ist die laxe Haltung der Behörden: So wurden noch nicht einmal die betroffenen Landkreise genannt - eine Anfrage bei der Softwarefirma brachte nichts, lediglich aus Presseberichten erfährt man, daß Potsdam, Neuhardenberg, Henningsdorf Rathenow, Plauen und Velbert darunter sind. Wären auf den Servern "illegale MP3s" gewesen, wäre das Geschrei (und Abmahnerei) groß; so sind nur die Daten von über einer halben Million Bürgern betroffen - das scheint ja ganz etwas anderes zu sein.

comments powered by Disqus