Der Hauptverband der österreichischen Sozialversicherungsträger hat am Dienstag die illegale Weitergabe von Versicherten-Informationen aus seiner zentralen Datenbank bestätigt. Der Zugriff sei durch einen Mitarbeiter erfolgt, der keine Berechtigung zur Einsicht der betroffenen Datensätze hatte, sagte Generaldirektor-Stellvertreter Volker Schörghofer am Dienstag zum WebStandard. Zunächst dementierte Pressesprecher Dieter Holzweber am Montag das Datenleck mit den Worten: "Wir haben kein Datenleck feststellen können. Und mehr gibt es dazu auch nicht zu sagen."

Echte Daten

Anonymous Austria hatte dem WebStandard am Montagabend Datensätze und Screenshots zugespielt, die bestätigen sollten, dass ein Zugriff auf die Zentrale Partnerverwaltung (ZPV) des Hauptverbands möglich gewesen sei. Die Echtheit der Daten konnte durch die Redaktion bestätigt werden. Dabei handelt es sich um Informationen wie Adresse, Telefonnummer, Kontonummer, Familienangehörige und Arbeitgeber. In einem Auswahlmenü ist auch zu sehen, dass ein Zugriff auf "Leistungserbringer" möglich ist.

Bundeskriminalamt hinzugezogen

Schörghofer beteuerte am Dienstag in einem Telefonat mit dem WebStandard, dass es sich weder um einen Hack noch um einen anderen Zugriff von außen gehandelt habe. Man sei gemeinsam mit dem Bundeskriminalamt der Sache nachgegangen und zu der Erkenntnis gekommen, dass ein bestimmter Mitarbeiter die Daten abgegriffen und Screenshots angefertigt habe. Die betroffene Person sei bereits suspendiert worden, eine Strafanzeige bei der Staatsanwaltschaft wurde eingebracht.

Mit Anonymous in Kontakt?

Konkret habe man überprüft, welche Mitarbeiter Zugriff auf die betroffenen Datensätze hatten. Das werde in dem System protokolliert. In einer schriftlichen Stellungnahme hieß es: "Die Überprüfung umfasste sämtliche Schutzsysteme der Sozialversicherung. Dabei hat sich gezeigt, dass alle Systeme der Sozialversicherung die technischen Sicherheitsstufen erfüllen und sich auf dem aktuellen Stand der IT-Sicherheitstechnik befinden." Auch den bloßen Versuch eines Einbruchs konnte man bei der Überprüfung laut Schörghofer nicht feststellen.

Der suspendierte Mitarbeiter soll zwar eine Zugriffsberechtigung zu dem System gehabt haben, aber nicht für die genannten Datensätze. Man verfolge zudem, ob der betroffene Mitarbeiter mit Anonymous in Kontakt war.

Drei externe Zugänge gekappt

Die Information, dass Mitarbeiter der Gebietskrankenkassen am Montag aufgefordert wurden, das System nicht zu benutzen, konnte Schörghofer nicht bestätigen. Es soll diesbezüglich keine interne Verständigung gegeben haben, allerdings könne es sein, dass einzelne Informationen durchgesickert seien. Als Maßnahme aus Verdachtsgründen wurden auch drei externe Zugänge von dem System abgehängt, dabei soll es sich aber nicht um Zugänge von den Gebietskrankenkassen gehandelt haben.

Ermittlungen auch im IRC-Channel

Indes behauptet AnonAustria, dass Mitglieder der IT-Abteilung der Sozialversicherungen am Montagabend, noch bevor Holzweber das Datenleck dementierte, im IRC-Channel des Kollektivs nach dem Ursprung der Daten gefragt hätten. So sollen die Mitarbeiter explizit gefragt haben, wie AnonAustria der Zugriff auf die Daten gelungen sei. Anonymous Austria sei die Datenpanne bereits seit Wochen bekannt. Anderen Quellen zufolge soll der Hauptverband der Sozialversicherungsträger bereits seit dem Wochenende von der Datenpanne gewusst haben.

Malware im Spiel?

AnonAustria beharrt nach dem Veröffentlichen des Artikels darauf, dass es sich "so nicht zugetragen" habe. Das Kollektiv wies darauf in einem Tweet hin. In einer Nachricht meinen die Mitglieder weiters, dass mittels eingeschleuster Malware Login-Daten abgegriffen worden seien und der betroffene User nun "als Bauernopfer herhalten" solle. Der Screenshot von "Max Mustermann", den AnonAustria am Samstag veröffentlichte, zeige zudem den Browser Firefox, der bei den Sozialversicherungen nicht installierbar sei, man arbeite dort mit dem Internet Explorer.

(iw, derStandard.at, 8.10.2013)