Verwaltung

Diplom-Informatiker: «Ein Online-Kantonsblatt begünstigt den Identitätsklau»

Päckli mit Rechnung oder nur per Kreditkarte? Darüber entscheidet bei Zalando ein Algorithmus, der innert Millisekunden Personendaten abgleicht. Werbespott Zalando

Päckli mit Rechnung oder nur per Kreditkarte? Darüber entscheidet bei Zalando ein Algorithmus, der innert Millisekunden Personendaten abgleicht. Werbespott Zalando

Die Piratenpartei kritisiert die Behörden scharf und deckt unwahre Sicherheitsversprechungen auf. Die angedachten Methoden zum Schutz der sensiblen Daten seien leicht zu umgehen.

Frau Müller bestellt zum ersten Mal beim Online-Kleidershop Zalando. Nachdem sie ihre Schuhe ausgewählt hat, erhält sie die Option, per Rechnung zu bezahlen. Frau Meier hingegen erhält diese Option nicht. Der Grund: Zalando arbeitet mit dem Bonitätsdienstleister Crif zusammen und prüft bei jeder Bestellung automatisch und innert Sekundenbruchteilen, ob die jeweilige Person zahlungskräftig ist. «Das Anbieten der Zahlart ‹Rechnung› mit vorgelagerter Prüfung bei Crif trägt stark zur Vermeidung von Debitorenverlusten bei», schreibt der Kleiderhändler.

Doch was hat das mit dem Basler Kantonsblatt zu tun? Viel, sagt Jan Fader, Vorstandsmitglied der Piratenpartei beider Basel. «Grosse Datendienstleister interessiert das Basler Kantonsblatt nicht, ausser natürlich, es lässt sich sowieso automatisiert einlesen und verwenden. Dann werden solche Daten von den riesigen Serverfarmen eingelesen und ausgeschlachtet.» Es sei erschreckend, wie fahrlässig die Behörden mit sensiblen Daten aus dem Kantonsblatt umgehen.

Die bz hat in den letzten Tagen berichtet, dass es in beiden Basel Bestrebungen gibt, künftig die offiziellen Publikationsorgane integral und frei zu veröffentlichen, inklusive sensibler, personenbezogener Daten. Zwar sind in beiden Kantonen auch Schutzmechanismen vorgesehen und heikle Einträge sollen oder werden nach einer gewissen Zeit gelöscht, diese sind aber gemäss Piraten-Politiker und Diplom-Informatiker Fader allesamt unzureichend. Beispiel Baselland: Dort schreibt die Landeskanzlei, dass die PDF-Versionen «aus Datenschutzgründen verschlüsselt werden». «Unsinn», sagt der Computer-Experte und erbringt innert Minuten den Beweis, dass die Informationen problemlos und automatisiert eingelesen und abgespeichert werden können.

Beispiel Basel-Stadt: Dort besteht der Regierungssprecher Marco Greiner auf der Feststellung, dass die Einträge mit sensiblen Daten «auch künftig online gelöscht werden» und dass es eine der Anforderungen an die technische Lösung sein werde, dass «das Recht auf Vergessen» sichergestellt sei. Die archivierte Version hingegen, in der keine nachträglichen Veränderungen gemacht werden können, werde nicht für jedermann online zugänglich gemacht. Ebenfalls unmöglich, sagt Fader. «Das Internet vergisst nicht. Alles, was einmal frei zugänglich online war, kann problemlos kopiert werden – auch auf mehrere verschiedene Server in Ländern mit viel weniger strengen Datenschutzgesetzen.» Selbst ein angedachter Schutz mittels einer sogenannten «Captcha»-Methode, wie sie Basel-Stadt gemäss Regierungsbericht prüfe und beispielsweise bei Eigentümer-Auskünften von Liegenschaften bereits einsetzt, sei mittlerweile problemlos zu umgehen.

Beim Stadtplan setzt Basel auf einen «Captcha»-Schutz. Die Methode ist auch beim e-Kantonsblatt eine Option. «Problemlos knackbar», sagt der Experte. .bs.ch

Beim Stadtplan setzt Basel auf einen «Captcha»-Schutz. Die Methode ist auch beim e-Kantonsblatt eine Option. «Problemlos knackbar», sagt der Experte. .bs.ch

«Höfliche Bitte» statt Schutz

Beispiel Graubünden: Dort wurde das Kantonsamtsblatt bereits Anfang 2016 komplett auf eine Online-Ausgabe umgestellt. Die Basler Regierung verweist in ihrem Bericht auf das Beispiel aus dem Bündnerland, wo Google keinen Zugriff auf die Daten hat. «Google hält sich tatsächlich an solche Anweisungen», sagt Fader. Die Anweisungen seien aber vergleichbar mit einem Schild an einem offenen Tor, mit der Bitte, nicht einzutreten. «Mehr als eine nette Aufforderung ist das nicht, und Konsequenzen drohen keine.» Es gebe massenhaft Datensammler, die darauf keine Rücksicht nehmen. Eine der harmloseren davon sei das Internet-Archiv web.archive.org. Diese gemeinnützige Institution habe es sich zum Ziel gesetzt, möglichst viele Websites zu archivieren. Und tatsächlich bringt eine Suche im Webarchive mehrere Seiten des Baselbieter Amtblatts zum Vorschein, die gemäss Verordnung nach sechs Monaten gelöscht werden müssten. «Das ist tatsächlich sehr erstaunlich und dürfte so nicht sein», muss der Baselbieter Landschreiber Peter Vetter eingestehen. «Offenbar sind unsere Schutzmassnahmen nicht genügend wirksam. Wir werden dem nachgehen müssen.»

Datenklau wird begünstigt

Piraten-Politiker Fader geht aber noch einen Schritt weiter. Er sagt, Personendaten mit Name, Adresse und Geburtsdatum zu veröffentlichen, sei grundsätzlich fahrlässig. «Damit begünstigt der Kanton den Identitätsdiebstahl, denn diese Informationen reichen Kriminellen, um sich beispielsweise eine falsche Identität im Internet zuzulegen oder gefälschte Ausweise herzustellen.» Brisant: Die gefälschten Ausweise laufen auf real existierende Personen, die für Kriminelle besonders interessant seien, da sie sich offenbar nicht um ihre Interessen kümmern. «Ansonsten hätten sie nicht mehrere Mahnungen nicht erhalten und wären im Kantonsblatt erschienen», sagt Fader. Werde die gefälschte oder geklaute Identität hingegen vom Staat mit einem Register gegengeprüft, sei sie gültig – weil die Person ja im Register existiere.

Verwandtes Thema:

Meistgesehen

Artboard 1