Diebstähle bei Datenbrokern: "Nur die Spitze des Eisbergs"
LexisNexis hat eingeräumt, dass bei 59 Einbrüchen in die Datenbanken der Tochter Seisint mehr als 310.000 Datensätze von US-Bürgern entwendet wurden. Sicherheitsexperten gehen von einer sehr viel höheren Dunkelziffer in der Datenbroker-Branche aus.
Nach zahlreichen Datendiebstählen bei Informationshändlern in der jüngsten Vergangenheit fordern Politiker und Bürgerrechtler in den USA immer lauter, die Arbeit von Brokern, die persönliche Informationen über US-Bürger sammeln und an Unternehmen oder Privatpersonen verkaufen, künftig deutlich stärker zu reglementieren. Am gestrigen Dienstag hatte der Online-Dienstleister für Rechts- und Wirtschaftsinformationen LexisNexis eingeräumt, dass Unbekannte bei insgesamt 59 Einbrüchen in die Datenbanken des Tochterunternehmens Seisint mehr als 310.000 Datensätze entwendet hatten, die Namen, Adressen, Sozialversicherungsnummern und Führerscheininformationen von US-Bürgern enthalten. Zuvor hatte es geheißen, dass lediglich 32.000 Datensätze entwendet worden seien.
Seisint soll Datensätze über nahezu jeden US-Bürger führen, die beispielsweise auch Informationen darüber enthalten, ob eine Person bei Gerichten aktenkundig, vorbestraft oder zahlungssäumig ist. Seisint-Kunden sind vorrangig Immobilienmakler, Firmen und Geldinstitute, die Informationen über Mieter, künftige Mitarbeiter oder potenzielle Kreditnehmer einholen. Im Februar war bekannt geworden, dass das Unternehmen Choicepoint, das hauptsächlich für US-Regierungsbehörden Datenbanken mit Bürgerinformationen zusammen trägt, sensible Daten wie Sozialversicherungsnummern und Bankauskünfte im Nebengeschäft ungewollt an Kriminelle verkauft hatte. Statt aber die mindestens 150.000 betroffenen Bürger umgehend zu informieren, hatte Choicepoint den Datendiebstahl monatelang vertuscht.
"Diese Vorfälle zeigen, dass wir gar keine Ahnung haben, wie groß das Problem von Identitätsdiebstählen wirklich ist", warnt der demokratische Senator Charles E. Schumer aus New York. "Wenn ein Unternehmen wie LexisNexis die Situation im eigenen Haus dermaßen falsch einschätzt, zeigt dies, dass die Sache mittlerweile völlig außer Kontrolle geraten ist." Gemeinsam mit seinem Kollegen Bill Nelson aus Florida will Schumer deshalb mit dem Comprehensive Identity Theft Prevention Act jetzt ein Gesetz im Kongress einbingen, das den Handel mit persönlichen Daten über US-Bürger stark einschränkt und den Verkauf von Sozialversicherungs-ID-Informationen generell verbietet. Parallel dazu finden im Justizausschuss des Senats derzeit Anhörungen zum Schutz von persönlichen Daten statt.
Kurt Sanford, CEO von LexisNexis, hält von einer Verschärfung der gesetzlichen Rahmenbedingungen im Zusammenhang mit Datenverkäufen jedoch wenig. "Egal, wie ausgereift die Sicherheitsvorkehrungen sind -- Identitätsdiebstähle lassen sich in den Vereinigten Staaten nicht verhindern", gibt Sanford zu bedenken und führt als Hauptgrund an, dass längst schon riesige Datenmengen mit persönlichen Informationen über viele US-Bürger im Internet öffentlich zugängig seien. Die LexisNexis-Mutter Reed Elsevier bot den von dem Datendiebstahl bei Seisint betroffenen US-Bürgern unterdessen eine kostenlose Versicherung an, die mögliche Schäden durch betrügerische Aktivitäten der Datenhacker decken soll.
Für US-Sicherheitsexperten wie Stanton Gatewood von der University of Georgia sind die jüngst eingeräumten Datendiebstähle bei Seisint und Choicepoint bei weitem keine Einzelfälle. "Das ist nur die Spitze des Eisbergs", ist sich Gatewood sicher. "Zu lange haben wir solchen Unternehmen und auch der Regierung vertraut, dass unsere persönlichen Daten in ihren Händen sicher sind. Aber ich sage Ihnen, die Daten sind dort genauso wenig sicher, wie sonst irgendwo auf der Welt." (pmz)
