Fr, 25. Mai 2018

Neuer Hacker-Schlag

28.09.2011 12:47

Hinterseer, Hosp & Co.: Daten der TGKK erbeutet

Nur zwei Tage nach der Veröffentlichung von rund 25.000 Datensätzen der österreichischen Polizei hat der heimische Anonymous-Ableger AnonAustria offenbar erneut zugeschlagen: In der Nacht auf Mittwoch gab die Gruppe bekannt, über 600.000 Datensätze von Versicherten der Tiroler Gebietskrankenkasse erbeutet zu haben. Betroffen sollen auch Prominente wie Schlagersänger Hansi Hinterseer, Skifahrerin Nicole Hosp oder Schauspieler Tobias Moretti sein. Die TGKK hat noch am Mittwoch Anzeige gegen Unbekannt eingebracht.

"Um das gleich klarzustellen: Es fand von unserer Seite KEIN Hack oder ähnliches statt. Vielmehr sind wir zufällig drüber gestolpert", teilte AnonAustria über Twitter mit. Zuvor hatte die Gruppe über den Kurznachrichtendienst ihre Leserschaft dazu aufgefordert, zu erraten, um welche Datensätze es sich diesmal handelt.

Nach und nach veröffentlichte das Kollektiv prominente Namen, die zu den Opfern des "Datenleaks" gehören sollen, darunter unter anderem Skirennläuferin Nicole Hosp, der ehemalige Landeshauptmann Herwig Van Staa, TIWAG-Vorstand Bruno Wallnöfer, der Tiroler ÖVP-Landesrat Bernhard Tilg, Kurt Rammerstorfer, der bis Mitte September Landesdirektor des ORF Tirol war, der Schauspieler Tobias Moretti sowie Schlagerbarde Hansi Hinterseer.

Die Daten, schrieb AnonAustria weiter, würden derzeit immer noch "in einer gezippten Textdatei bei einem Filehoster" liegen. Eine Veröffentlichung der gesamten Datenbank sei seitens AnonAustria aber ausgeschlossen. "Samples werden derzeit sondiert", so die Gruppe, die auch mit Spott nicht sparte. "Wenn uns TGKK-IT-Chef Otto Hosp sein Geburtsdatum zukommen lässt, können wir ihm seinen Datensatz symbolisch zurückgeben", hieß es auf Twitter. Kurz darauf fragte die Gruppe scherzhaft weiter: "Will jemand Miss Tirol besuchen? Adresse hätten wir..."

"Doppelte Firewall nicht geknackt"
Bei der TGKK rätselt man indes über die Herkunft der Datensätze. Laut Obmann Michael Huber könnte es sich um Datensätze handeln, die die Krankenkasse monatlich an Vertragspartner wie zum Beispiel Ärzte oder das Rote Kreuz weitergebe. Mit diesen Daten könne überprüft werden, ob jemand tatsächlich versichert sei. Nicht enthalten seien dabei Aufzeichnungen über Erkrankungen der Versicherten, beteuerte Huber. "Sobald wir Genaueres über die Daten wissen, beginnen wir, die Betroffenen zu informieren", versicherte der TGKK-Obmann. Er betonte, dass die doppelte Firewall der Gebietskrankenkasse "nicht geknackt" worden sei.

Mittlerweile teilte Huber mit, es sei Anzeige gegen Unbekannt erstattet worden. Es handle sich um eine "kriminelle Geschichte", auch wenn man angeblich "zufällig" über die Datensätze gestolpert sei. Bereits am Vormittag hatten Fachleute der Landeskriminalabteilung Tirol der Gebietskrankenkasse einen Besuch abgestattet.

Daten laut TGKK-Direktor "bestmöglich geschützt"
TGKK-Direktor Heinz Hollaus berichtete am Vormittag von Anrufen Versicherter, die ihre E-Card sperren lassen wollten. Auf der E-Card seien aber "keinerlei sensible Daten gespeichert". Sie diene lediglich dazu, beim Vertragspartner einen Leistungsanspruch nachzuweisen, betonte der Direktor.

Die Daten der Versicherten seien "nach dem neuesten Stand der EDV-Technik gesichert". Daten über Diagnosen, Medikamentenkonsum und Einkommensverhältnisse seien "bestmöglich geschützt". Die TGKK sei gesetzlich oder vertraglich verpflichtet, gewisse Daten an Körperschaften öffentlichen Rechts und Vertragspartner etwa zu Abrechnungszwecken weiterzugeben. Diese Weitergabe erfolge über gesicherte Leitungen, alle Empfänger würden ebenfalls den strengen Datenschutzbestimmungen unterliegen, beteuerte Hollaus.

Vater von Nicole Hosp empört
Empört über den angeblichen Datendiebstahl zeigte sich der Vater und Manager von Skirennläuferin Nicole Hosp, Hans Hosp: Er sprach von "Wahnsinn". Das Veröffentlichen derartiger Daten "ist nicht lustig, ich verstehe nicht, dass das passieren kann". Entweder seien die Informationen schlecht gesichert gewesen oder es werde "Schindluder" getrieben, so Hosp.

Polizisten überlegen Sammelklage
Erst am Montag hatte AnonAustria die Daten von rund 25.000 österreichischen Polizisten publik gemacht. Nach wie vor unklar ist, wie das Hackerkollektiv an die Datensätze gelangte. Eigenen Angaben zufolge sollen ihnen - wie im Fall der Tiroler Gebietskrankenkasse – die Daten zugänglich gemacht worden sein, was auf eine mögliche Lücke im Innenministerium schließen lässt.

Die Polizeigewerkschaft überlegt indes, eine Sammelklage einzubringen. "Wir werden am Freitag darüber entscheiden", sagte Vorsitzender Hermann Greylinger. Stellen, die über sensible Daten verfügen, müssten nun alles unternehmen, damit solche "Leaks" nicht mehr vorkommen können. "Koste es, was es wolle", so Greylinger.

Die Veröffentlichung der Daten der Polizisten ist für die Beamten weit mehr als nur ärgerlich. "Unser Gegenüber ist nicht immer sanft, Drohungen gehen immer wieder ein", betonte Greylinger. Dass sich nun auch die Wohnanschriften im Netz finden, erhöht die Gefährdung der Polizisten. Seitens des Innenministeriums wollte man auch am Dienstag nicht bestätigen, dass die Daten wahrscheinlich von dem Verein IPA stammen, bei dem beinahe alle aktiven Beamten und viele Pensionisten Mitglied sind. Das Ressort sprach weiterhin lediglich von einem "polizeinahen Verein".

Ebenfalls noch nicht völlig geklärt ist die Frage, ob der Computer mit den betroffenen Daten gehackt worden ist oder ob die Namen und Adressen illegal weitergegeben worden sind. "Wir ermitteln in beide Richtungen", sagte Ministeriumssprecherin Sonja Jell.

Rechtsfrage noch ungeklärt
Offen ist derzeit auch, ob die Mitglieder von AnonAustria - so die denn jemals erwischt werden - für den Datendiebstahl belangt werden können. Im heimischen Rechtssystem existiere ein derartiges Delikt laut Hans Zeger von der ARGE Daten nämlich gar nicht. Auch das Hacken sei nur dann strafbar, wenn dabei Sicherungsmaßnahmen wie etwa Passwörter überwunden werden.

"Wenn man etwa im Internet über Listen mit Daten 'stolpert', ist dies kein Hacken", betonte der Experte. Man könne dies damit vergleichen, wenn man beim Spazierengehen an allen Autotüren rüttelt: Erwischt man einen offenen Pkw und setzt sich hinein, sei dies kein Einbruch, weil man eben nicht gewaltsam eingedrungen ist.

Missbrauch von Daten mit Haft bedroht
Das Verwenden bzw. der Missbrauch persönlicher Daten sei entweder eine Verwaltungsübertretung oder ein Strafdelikt. Letzteres bedingt, dass man dadurch einen Schaden verursachen oder einen persönlichen Vorteil erzielen wollte. Die Anonymous-Mitglieder könnten laut Zeger damit argumentieren, in "guter Absicht" gehandelt zu haben, um auf Missstände aufmerksam zu machen. Wird dies geglaubt, kämen sie im Fall des Falles mit einer Verwaltungsübertretung davon, wofür die Strafe bis zu 25.000 Euro beträgt.

Bei einem Strafdelikt wird man hingegen nicht so "billig" davonkommen. Hier droht bis zu einem Jahr Gefängnis. Noch schlimmer, nämlich bis zu fünf Jahre, könnte es für Amtspersonen (Beamte oder öffentlich Bedienstete, Anm.) kommen. Ein Beispiel ist die unrechtmäßige Abfrage im Polizeicomputer EKIS, weshalb schon zahlreiche Prozesse geführt wurden.

Auch TGKK und Provider belangbar
Im aktuellen Fall könnte aber auch auf die Tiroler Gebietskrankenkasse einiges zukommen: Wegen gröblicher Verletzung von Sicherheitsvorkehrungen drohe eine Verwaltungsstrafe von bis zu 10.000 Euro. Dazu kämen noch zivilrechtliche Ansprüche der Betroffenen, die von der TGKK über den Datenklau informiert werden müssen. Neben etwaigen materiellen könne man auch immaterielle Schäden bei der Krankenkasse einklagen. Dies orientiert sich laut Zeger am Medienrecht - etwa wenn eine ansteckende Krankheit publik wird - und kann bis zu 20.000 Euro pro Fall kosten.

Schließlich geht es noch um den Provider, über den die persönlichen Daten ins Netz gestellt werden. "Dieser ist von der Haftung für rechtswidrige Inhalte ausdrücklich ausgenommen", so der Experte. Ausnahme: Wird er darauf hingewiesen und sind diese Inhalte wirklich rechtswidrig, muss er sie vom Netz nehmen - tut er das nicht, wird er wegen der missbräuchlichen Verwendung von Daten ebenso belangt wie die Anonymous-Mitglieder, sofern man sie jemals erwischt.

Zeger verspürt "gewisses Maß der Genugtuung"

Die derzeitige Diskusatsphäre nie freuen, andererseits spüre er "ein gewisses Ausmaß der Genugtuung".

Die ARGE Daten weise schon seit langem auf strukturelle Mängel hin, doch diese eher abstrakten Hinweise seien ohne große Wirkung geblieben. "Offenbar bedarf es des Holzhammers", meinte Zeger. Und doch könne man nicht gutheißen, was Anonymous macht. "Persönliche Daten müssen persönlich bleiben!"

Der Fachmann kritisiert allerdings, dass es in der aktuellen Diskussion weniger darum gehe, das Problem zu beheben, als den Überbringer der "schlechten Nachricht" - also Anonymous - zu bestrafen. Tatsache sei, dass viele Datenverwalter die Sicherheit nicht im Griff hätten. "Als Bürger musst du ihnen aber vertrauen", so Zeger.

Das könnte Sie auch interessieren

Kommentar schreiben

Liebe Leserin, lieber Leser,

die Kommentarfunktion steht Ihnen ab 6 Uhr wieder wie gewohnt zur Verfügung.

Mit freundlichen Grüßen
das krone.at-Team

Kommentare
324

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).

Aktuelle Schlagzeilen

Für den Newsletter anmelden