Beispiellose Datenpanne in Großbritannien

Der Skandal um den Verlust einer Komplettkopie der britischen Kindergeld-Datenbank zieht weitere Kreise. 25 Millionen Briten, fast die Hälfte der Bevölkerung, in über 7 Millionen Familien sind betroffen. Der Vorfall deutet auf entscheidende Mängel im Bewusstsein über die Risiken umfassender und zentraler Datensammlungen – bei vielen Beteiligten. Die Regierung ist angeschlagen, ebenso wie das umstrittene Projekt einer umfassenden „Nationalen Identitäts-Datenbank“.

Palace of Westminster, London

Am 20. November musste der britische Finanzminister Alistair Darling dem Parlament über die größte (bekannte) Datenpanne der britischen (und wahrscheinlich europäischen) Geschichte berichten. Seit März hatte die Steuerbehörde HMRC (Her Majesty's Revenue and Customs) insgesamt dreimal eine Komplettkopie ihrer Kindergeld-Datenbank per Post von ihrem Standort bei Newcastle an den britischen Rechnungshof in London geschickt. Die Daten waren unzureichend gesichert, das Verfahren verletzte bestehende Regeln und der Datenumfang ging unnötig über die Anforderungen der Haushaltsprüfer hinaus. Ungesichert war auch die Versendung mit der Hauspost, betrieben vom Kurierunternehmen TNT. Die aus zwei CDs bestehende zweite Sendung am 18. Oktober ging prompt verloren. (Die Behörden und seit Mitte November die Polizei suchten nach den CDs, aber am 5. Dezember wurde die Suche beendet und eine Belohnung von 20.000 £ für Hinweise ausgesetzt.) Doch selbst dieser Vorfall veranlasste die Behördenmitarbeiter nicht zum Umdenken – die sechs Tage später veranlasste Nachsendung war erneut ein Vollauszug, mit dem einzigen Unterschied, dass die Datenträger diesmal mit registrierter Post verschickt wurden und ihr Ziel erreichten.

Das Ergebnis ist ein potentielles Datenleck von bisher beispiellosen Ausmaßen. Die verlorene Sendung enthielt persönliche Daten von allen Menschen, die Ende September in Großbritannien Kindergeld bezogen haben. Kindergeld wird gezahlt für Kinder und Jugendliche bis zum Alter von einschließlich 19 Jahren (in den letzten drei Jahren nur im Fall einer laufenden Ausbildung oder eines Studiums) und wird von fast allen Berechtigten genutzt. Versendet wurden 25 Millionen Sätze persönlicher Daten über 15,5 Millionen Kinder und 7,25 Millionen Antragsteller sowie 2,25 Millionen „andere Bezieher“. Die Daten enthalten Namen, Adressen und Geburtsdaten von Antragstellern und ihren Partnern und Kindern, Verwandtschaftsbeziehungen zwischen ihnen, Nationale Versicherungsnummern und Bankverbindungen.

Die britischen Banken versprachen, Sicherheitssysteme gegen unbefugte Kontenbewegungen zu installieren. Die Regierung forderte alle Betroffenen auf, ihre Konten auf verdächtige Bewegungen zu prüfen und vorsichtig zu sein, wenn sie z.B. per Telefon nach persönlichen Angaben gefragt werden. Die Regierung hat eine Hotline für ihre Bürger geschaltet, um möglichst schnell auf eventuellen Missbrauch reagieren zu können. Doch damit nicht genug: Viele Menschen nutzen gerne ihre zweiten Vornamen oder die Geburtsdaten von Familienmitgliedern als Passworte oder PIN-Nummern. Die Datenbank ist damit ein exzellenter Ausgangspunkt für versuchten Identitätsdiebstahl auch außerhalb des Bankensystems. Der mögliche Schaden durch die verschwundenen Datenträger, sollten sie in falsche Hände geraten sein, ist unabsehbar. Hierfür bestehe bisher noch kein Indiz, betonte der Finanzminister mehrmals im Parlament – es ist aber deutlich zu früh, um daraus eine Entwarnung abzuleiten.

Paul Gray, der Leiter der britischen Steuerbehörde, ist bereits vor dem Parlamentsbericht zurück getreten. Auch Finanzminister Alistair Darling steht unter Beschuss.

Erschreckende Mängel an Sicherheitsbewusstsein auf allen Seiten

Der Vorfall ist nicht nur, wie der Finanzminister zunächst darzustellen versuchte, ein eklatanter Regelverstoß in den unteren Rängen der Steuerbehörde mit katastrophalen Folgen. Die politische Diskussion und inzwischen bekannt gewordene Details offenbaren Mängel im Sicherheitsbewusstsein bei beiden beteiligten Behörden und in der Politik.

• Ein Motiv für die fatale Entscheidung, einen Vollauszug zu versenden, war offenbar die Vermeidung zusätzlicher Kosten (und damit die Erfüllung eines politisch vorgegebenen Ziels). In einer E-Mail am 13. März fragten die Haushaltsprüfer, ob nicht benötigte Daten (Adressen, Bankverbindungen, Details über Eltern) entfernt werden könnten. Diese Anfrage war jedoch nicht mit Datenschutzbedenken begründet, sondern mit dem Wunsch nach einer kleineren Datei. Noch am gleichen Tag antwortete die Steuerbehörde, dass „das Unternehmen“ nicht „mit Wünschen nach zusätzlichen Datenanfragen/filtern überlastet werden darf, welche der Abteilung Kosten verursachen könnten“. Die bereits vorliegenden Daten müssten genutzt werden.

• Dass tatsächlich beide Seiten die Problematik des massiven Datenumfangs nicht ernst nahmen, beweist ein weiteres pikantes Detail: im März gab der Rechnungshof die von der Steuerbehörde erhaltene erste CD-Sendung an die Wirtschaftsprüfungsfirma KPMG weiter, also den unveränderten Vollauszug. (Offenbar mussten zur Analyse der Daten zusätzliche „Mainframe-Kapazitäten“ eingekauft werden.) Als einzige Maßnahme zur Datensicherheit verließ man sich hierbei darauf, dass die CDs „von Hand“ transportiert und zurückgegeben wurden, und auf eine (erst im November, einen Tag nach dem Verlust der zweiten Datensendung, eingeholte) Versicherung von KPMG, dass alle Kopien „gelöscht oder überschrieben“ worden seien. Auf die Idee, den Datenumfang vorher selbst auf ein angemessenes Maß zu reduzieren, kam der Rechnungshof offenbar nicht: Ein Sprecher meinte dazu, die Daten gehörten ja der Steuerbehörde – „es lag an HMRC, die Daten zu behandeln“.

• Auf die CDs geschrieben wurden die Daten offenbar als passwortgeschützte ZIP-Dateien; dies wird nahegelegt durch die Aussage des Finanzministers, die Datenträger seien „passwortgeschützt“ gewesen – das Wort „verschlüsselt“ wurde bewusst nicht verwendet – und die bekanntgewordenen E-Mails, in denen das ZIP-Format explizit erwähnt wird. Tatsächlich sind passwortgeschützte ZIP-Dateien verschlüsselt, jedoch mit veralteter Technologie, die von Sicherheitsexperten als sehr schwach bezeichnet wird: es gibt Angriffsmethoden, mit denen die Daten mit weitaus höherer Wahrscheinlichkeit und Geschwindigkeit entziffert werden können als bei Verwendung aktueller kryptographischer Verfahren. ZIP-Passwörter sind also für den Transport von Daten dieser Sensitivität kein geeigneter Schutz.

Die Politik gibt Datenhunger als Datensicherheit aus

Dieser Skandal findet innerhalb einer politischen Kultur statt, die umfangreiche Überwachung und Datensammlungen seit Jahren als Maßnahme der Sicherheit verkaufen will. Bekanntlich ist Großbritannien das Pionierland der Videoüberwachung und allgemein Vorreiter bei Datensammlungen zum Zweck angeblicher Sicherheit. Bemerkenswert ist aber, auf welche Weise die Regierung die geplante Nationale Identitäts-Datenbank im Lichte dieser Datenpanne verteidigte. In Großbritannien gibt es bislang keine Personalausweise und kein dem deutschen vergleichbares Meldesystem, und dies wird von weiten Teilen der Bevölkerung als ein wichtiges Element der persönlichen Freiheit empfunden. Seit dem letzten Jahr soll jedoch nicht nur ein Ausweissystem, sondern damit verbunden eine zentrale Datenbank eingeführt werden – mit Zugriffsmöglichkeiten für alle Behörden und einige private Organisationen, einer national einheitlichen Personenkennziffer, umfangreichen persönlichen Angaben und biometrischen Daten aller britischen Bürgerinnen und Bürger.

Als die Oppositionsparteien im Parlament jetzt den Verlust der Kindergelddaten als schweren Rückschlag für die geplante Identitätsdatenbank werteten, verteidigten der Finanzminister und einen Tag später Premierminister Gordon Brown das Projekt mit der Aussage, durch die Aufnahme biometrischer Daten sei das neue Register doch besser vor Identitätsdiebstahl „geschützt“ – als könnten biometrische Daten nicht auch unberechtigt ausgelesen werden (etwa durch RFID-Chips in Pässen) und dann zur noch glaubhafteren Annahme einer fremden Identität dienen. So wird der zunehmende Hunger nach möglichst umfassenden Datensammlungen – gerade wenn dessen fatale Folgen für die Sicherheit der Bevölkerung sichtbar geworden sind – sogar zu einer Maßnahme der angeblichen Datensicherheit verkehrt.

(Quelle: BBC, Guardian, Telegraph, The Herald, weitere britische Tageszeitungen u.a.)