Erstellt am: 13. 3. 2012 - 15:36 Uhr
Doppelklick genügt
Wie sicher persönliche Daten im Zeitalter von Netzwerken sind, steht vor allem zur Diskussion, wenn ein Hackerangriff bekannt wird. Manchmal aber ist gar kein Hack notwendig, weil sensible Daten ohnehin ungeschützt irgendwo herumliegen. Zum Beispiel bei ZIB-Training, einer Firma, die im Auftrag des Arbeitsmarkt-Service (AMS) Kurse für Arbeitsuchende anbietet.
Irmi Wutscher über Kritik am AMS
Sinnlose Kurse, Austausch von Daten und Lohndumping?
Geburtsurkunden, Schulzeugnisse oder Lebensläufe - bei ZIB-Training in Wien Donaustadt können Kursteilnehmer auf die Ordner anderer Teilnehmer zugreifen und sie kopieren. Das hat ein Kursteilnehmer vor kurzem entdeckt: „Das AMS hat mich in einen Kurs geschickt. Dort bin ich hingegangen und habe die typische Aufgabe bekommen, einen Lebenslauf zu verfassen. Das habe ich auf einer Surfstation gemacht, die dort für alle Teilnehmer und alle Personen, die sich dort aufhalten, zugänglich ist. Das war ein Windows-Rechner mit einem Netzlaufwerk. Auf diesem Netzlaufwerk habe ich Daten von mir entdeckt, einen vorbereiteten Lebenslauf, und Daten von vielen anderen Teilnehmerinnen und Teilnehmern.“
AMS
Die Daten auf dem Netzlaufwerk der Surfstation waren unverschlüsselt und auch nicht durch ein Passwort geschützt. Viel war also für den Zugriff nicht zu tun: „Doppelt draufklicken und man sieht ein großes Verzeichnis“. Darin zum Beispiel auch ein Lebenslauf, in dem steht, dass die Teilnehmerin zu 50% Invalide ist. Bei einer anderen Teilnehmerin ist angeführt: "Ledig, Kinderbetreuung des Sohns geregelt". Von vielen TeilnehmerInnen ist der Staatsbürgerschafts-Status zu erfahren und ein Teil ihrer Lebensgeschichte. „Was mich am meisten schockiert", sagt der Kursteilnehmer, "war, dass man dann ja die berufliche Story der Menschen und ihren Bildungsstand kennt. Das sollte eigentlich nicht jeder sehen können, der dort reingeht.“
FM4 liegt eine Kopie des 555 Megabyte großen Netzlaufwerks vor. Die Ordnerstruktur lässt darauf schließen, dass es sich nicht um eine Datenbank mit Benutzerberechtigungen handelt. Die Verzeichnisse sind chaotisch organisert, in etwa 60 Unterordnern von Kursteilnehmern sind Fotos, Arbeitszeugnisse und Bewerbungsschreiben zu finden. Die Ordner mancher Teilnehmer sind leer. Andrea Stecher von ZIB-Training sagt, allen Kursteilnehmern werde empfohlen, diese persönlichen Daten nach dem Kurs vom Netzlaufwerk zu löschen: „Grundsätzlich ist es so, dass wir als besondere Serviceleistung unseres Unternehmens den Teilnehmern und Teilnehmerinnen anbieten, dass sie persönliche Daten – wenn sie das wollen – auf einem Laufwerk zwischenspeichern können. Die TeilnehmerInnen werden selbstverständlich darüber informiert, dass es sich um kein gesichertes bzw. auch um kein von anderen uneinsehbares Laufwerk handelt.“
Unser Kursteilnehmer vermisste aber – zumindest in diesem einen Fall – die Informationen: „Mir ist schon bei der Anmeldung dort aufgefallen, dass Anmeldebögen mit persönlichen Daten auszufüllen waren. Aber ein Hinweis, wo diese Daten abgelegt werden, wie sie verarbeitet werden – dieser klassische Datenschutzhinweis war nicht vorhanden.“
Andrea Stecher von ZIB-Training sagt, dass auf dem ungeschützten Netzlaufwerk keinerlei administrative Daten gespeichert werden. Dass die Kursteilnehmer auf den vernetzten Computern im Trainingsinstitut keine eigenen Accounts oder mit Passwort geschützte Ordner erhielten, liege daran, dass man den Ablauf einfach halten wolle.
Trainingsinstitute wie ZIB sollen AMS-Klienten auf das Arbeitsleben vorbereiten. Dazu müsste eigentlich auch grundlegendes Basiswissen zu Datenschutz und dem Umgang mit den eigenen sensiblen Daten gehören.