Statistik Nord sichert seine Datenbank nicht richtig
Letzte Aktualisierung: 06.01.2012
Zusammenfassung
Dieses Datenleck wurde um den 29.12.2011 in den Medien bekannt.
Details
Wie bei einem Vortrag auf dem 28. Chaos Communication Congress des Chaos Computer Clubs (CCC) bekannt wurde, gab es auf der Internetseite des Statistischen Amtes für Hamburg und Schleswig-Holstein statistik-nord.de eine Sicherheitslücke, durch welche auf interne Daten zugegriffen werden konnte.
Mittels einer SQL-Injection konnte die gesamte, hinter der Webanwendung stehende Datenbank herunter geladen werden. Nach Informationen des CCC sollen sich darunter neben allgemeinen statistischen Daten der Länder Hamburg und Schleswig-Holstein auch Daten aus dem Zensus 2011 befunden haben. Das Bundesamt für Statistik garantiert auf einer Informationsseite zur Volkszählung: „Jede einzelne dieser Informationen von und über Menschen unterliegt – abgeschottet im gesicherten Bereich der amtlichen Statistik – strengsten Datenschutz- und Datensicherheitsbestimmungen.“
Richtigstellung am 06.01.2012: Ein Blick in die Daten hat mittlerweile gezeigt, dass es sich nicht um personenbezogene Daten aus dem Zensus 2011 – wie zuerst vermutet – handelt. Der Datenbankabzug enthält nur allgemeine statistische Kennzahlen zu den Stadtteilen, wie Anzahl der Verkehrsunfälle, Anzahl der Harz-IV-Empfänger und Anzahl der Diebstahlsdelikte. Ein Sprecher des CCC hat im Kontext dieses Vorfalls lediglich die Frage aufgeworfen, wie sicher denn die Zensusdaten seien?
Beteiligte Verursacher
Betroffene Länder
Betroffene Datenarten
Referenzen / Quellen
Kommentare
Wastl am 05.01.2012
Es heisst im Text „Daten aus dem Zensus 2011”. Es ist ein erheblicher Unterschied ob es sich dabei um kumulierte / anonymisierte Daten handelt oder ob die Daten noch Kennzeichen die genauer als der AGS sind enthalten.
Wenn es sich nur um zusammengefasste Ergebnisse handelt dann sie ich das nicht mal kritisch, ganz im Gegenteil, solche Daten, wenn man sie schon hat, sollten im Rahmen der Transparenz, allgemein kostenfrei jedem zur Verfügung stehen.
Unter einem Datenleck verstehen wir ganz nüchtern, wenn jemand Zugriff auf Daten erhält, die für ihn nicht bestimmt sind. Wenn also die Behörde – aus welchen Gründen auch immer – der Meinung ist, die Daten nicht für die Öffentlichkeit vorzusehen, und es dennoch Außenstehenden gelingt, Zugriff zu erhalten, so ist es trotz alledem ein Datenleck. Wir unterscheiden nicht zwischen guten und schlechten Datenpannen.
Allerdings war die ausgewählte Datenart falsch gewesen. Wie du korrekt angemerkt hast, handelt es sich hierbei um kumulierte Daten, folglich sind das keine „Persönlichen Daten” mehr, sondern (da man vermutlich die Daten veräußern wollte) um Betriebsgeheimnisse. Ich habe es korrigiert.
Richi (datenleck.net) am 06.01.2012
Ich hatte im Artikel offen gelassen, ob es sich um personenbezogene Daten handelt. In dem Statement des CCC-Sprechers kam das nämlich durchaus so rüber.
Nach einer mittlerweile möglichen Analyse der Daten, habe ich dem Artikel noch einen Absatz hinzugefügt.
Kommentar hinzufügen