Kanadische Provinzbehörden als Datenschleudern

Eine Hiobsbotschaft nach der anderen, in Sachen Datensicherheit bei Behörden, ereilte in den letzten Wochen die Bevölkerung von British Columbia. Die im Südwesten Kanadas gelegene Provinz ist etwa 2,6-mal so groß wie Deutschland, ihre größte Stadt ist Vancouver (2 Millionen Einwohner.) Bei einer behördlichen Versteigerung gelangten 41 Bänder aus Provinzbesitz mit privaten Daten von Bürgern sowie einige Blackberrys in falsche Hände. In nur einem Jahr wurde Hardware im Wert von zirka 387.000 Kanadischen Dollar (rund 276.000 Euro) gestohlen. Schließlich wurden Behördencomputer als Porno- und Warez-Server missbraucht.

Ein Artikel in der Zeitung Vancouver Sun brachte Anfang dieses Monats die Affäre an die Öffentlichkeit. Ein Mann hatte im Mai 2005 bei einer öffentlichen Versteigerung von Sachen aus dem Besitz öffentlicher Einrichtungen unter anderem einen Karton mit 41 Datenbändern für 101 Kanadische Dollar (knapp 72 Euro) erworben. Darauf fand er ohne weiteren Aufwand brisante Daten tausender Bürger: Namen, Adressen, Sozialversicherungsnummern, Führerscheinnummern, Krankenversicherungsdaten, Finanzinformationen, Angaben über Arbeitgeber und Anwaltsbeziehungen und so weiter gemeinsam mit Gesundheitsdaten – darunter Informationen über HIV-Status, Drogenkrankheiten und psychiatrische Erkrankungen. Dazu kamen Akten über Flüchtlinge, Einwanderer sowie Personen, die Sozialhilfe beantragt hatten. Offenbar waren die Daten nicht verschlüsselt, und es war auch kein Versuch unternommen worden, die Bänder vor der Veräußerung zu löschen.

Mit den Ermittlungen der Zeitung konfrontiert, stoppte die liberale Provinzregierung vorerst die Veräußerung jeglicher Hardware und setzte eine Untersuchungskommission ein. Diese hat die Datenbänder zurückgekauft, untersucht und in kurzer Zeit einen Bericht erstellt, der nun veröffentlicht wurde. Daraus geht hervor, dass 21 der 41 Bänder zu ihrem wahrscheinlichen Ursprung, einem von verschiedenen Behörden genutzten Gebäude in Vancouver, zurückverfolgt werden konnten. Die Herkunft der 20 weiteren Datenträger bleibt unklar. Da die Verschleißstelle auch königliches (Bundes)Eigentum verwertet, könnten die Bänder auch von einer Bundesbehörde stammen. Es gab weder Aufzeichnungen über den Inhalt des versteigerten Kartons noch über die Identität des Käufers.

Diese konnte jedoch geklärt werden, als die Sun berichtete, dass der Mann auch einen Posten mit sieben Blackberrys für etwa 200 Kanadische Dollar (zirka 142 Euro) erstanden hatte. Auf den Geräten fand er persönliche Daten, E-Mails, volle Adressbücher und Passwörter jener Beamten, die die Blackberrys zuvor genutzt hatten. Die Speicher waren nicht gelöscht worden. Die Untersuchungskommission schließt ihren Bericht mit zehn Empfehlungen, darunter ein Verbot der Veräußerung von Datenträgern, die Überarbeitung und externe Kontrolle interner Abläufe und Datenbehandlungsregeln, die Überprüfung von Verschlüsselungsmöglichkeiten und die ausschließlich zentrale Speicherung sensibler Informationen. Generelle Sparsamkeit bei der Erhebung und Speicherung von Daten wird jedoch nicht vorgeschlagen.

Parallel zur offiziellen Untersuchung recherchierte auch die Zeitung weiter. Eine Auskunft nach dem Informationsfreiheitsgesetz förderte zutage, dass alleine im Finanzjahr 2004/2005 138 Stück diverser Hardware, 31 Laptops und neun Mobiltelefone im Gesamtwert von etwa 387.000 Kanadischen Dollar (rund 276.000 Euro) aus dem Besitz der Provinz als gestohlen gemeldet wurden. Zwar war hauptsächlich Gerätschaft aus Bildungseinrichtungen betroffen, aber auch mehreren Spitälern, dem Gesundheitsministerium, dem Justizministerium und der Staatsanwaltschaft waren Laptops abhanden gekommen. Welche Daten dabei in falsche Hände gelangt sind, wird sich wohl nie klären lassen. Die Provinzregierung meint, dass nicht die gespeicherten Informationen, sondern der Wert der Geräte das Motiv für die zahlreichen Diebstähle sind.

Natürlich wurden nicht nur Journalisten, sondern auch die Opposition aktiv. Die sozialdemokratische NDP deckte auf, dass bis Februar zumindest 78 Behörden-PCs als Server, vermutlich für Warez und Pornofilme, missbraucht wurden. Der über niederländische Systeme erfolgte Einbruch in das westkanadische Netzwerk soll mindestens zwei Monate unbemerkt geblieben sein. Im Gegensatz zur Opposition glaubt die Provinzregierung nicht, dass dabei Passwörter für die zentralen Datenlager ausgespäht wurden. (Daniel AJ Sokolov) / (jk)