- Datenlecks bei weiteren Behörden
- Wohnhausgenaue Strom- und Gasdaten in Konstanz
- Datenlecks im Altlastenkataster
- Behörden fehlt oft Fachpersonal
- Bestehende Strukturen können funktionieren
Datenlecks bei weiteren Behörden
In mindestens fünf Landkreisen in Baden-Württemberg hat das SWR Data Lab durch gezielte Datenrecherchen und Anfragen bei diversen Behörden Datenpannen aufgedeckt oder verifiziert. Dabei waren Daten von Zehntausenden Menschen monatelang ungeschützt im Internet einsehbar. Einige Landratsämter waren sich dieser Sicherheitslücken bis zu den SWR-Recherchen nicht bewusst.
Neben den öffentlichen Geoportalen für Bürgerinnen und Bürger gibt es auch interne Datenbanken mit zusätzlichen Informationen, die nur für Behördenmitarbeitende gedacht sind und teilweise passwortgeschützt sein müssten. Das war allerdings nicht der Fall.
Das SWR Data Lab hat durch systematische Googlesuchen interne Links entdeckt, die nicht für die Öffentlichkeit bestimmt waren. Etwa zehn der 44 Stadt- und Landkreise in Baden-Württemberg nutzen die sogenannten REST-Frameworks des ArcGis-Geoportals. Bei zwei davon hatten alle Internetnutzer Zugriff auf Daten, die eigentlich passwortgeschützt sein sollten, es aber nicht waren.
Wohnhausgenaue Strom- und Gasdaten in Konstanz
Stromverbrauch, Kundennummer, Adresse und Flurstücknummer - diese Daten hat die Stadt Konstanz im Internet veröffentlicht. Das SWR Data Lab hat die Daten analysiert und mit mehreren Betroffenen gesprochen. Bei den Daten handelt es sich um 11.880 Gebäudeadressen samt Energiekundendaten der Stadtwerke von 2014 bis 2017.
Cagdas Karakurt, Sprecher des Landesdatenschutzbeauftragten (LfDI) bestätigt, dass die Behörden erst durch die Anfrage des SWR von dem Vorfall erfahren haben. Anja Fuchs, Sprecherin der Stadt, erklärte: "Der angesprochene Kartendienst zum Energienutzungsplan aus dem Jahr 2018 war der einzige dort gespeicherte Datensatz, der in diesem Detailgrad nicht für die Öffentlichkeit gedacht war." Die Stadt betont in einer Pressemitteilung, dass keine Namen enthalten waren. Die Stadtwerke kamen zur Einschätzung, dass mit den vorliegenden Daten kein Identitätsdiebstahl möglich sei.
SWR-Recherchen zeigen aber: Mithilfe der veröffentlichten Daten lassen sich auf Google ganz einfach Namen und Telefonnummern finden. Auch Gebäudetypen sind in den Daten aufgeführt. So lassen sich etwa Stromverbräuche wohnhausgenau auslesen. Bei Einfamilienhäusern ist das ein Problem. Die Informationen erleichtern es Kriminellen, ihre Opfer am Telefon oder an der Haustür zu betrügen.
Der SWR hatte den Landesdatenschutzbeauftragten am 25. Januar mit den offenliegenden Daten in Konstanz konfrontiert, der daraufhin nach eigenen Angaben die notwendigen Stellen informiert hat. Die Stadt Konstanz erklärte, dass die offene Schnittstelle, die Zugriff auf den Datensatz ermöglichte, am 1. Februar geschlossen wurde.
Datenlecks im Altlastenkataster
Dem SWR Data Lab sind drei weitere Datenlecks in Geoportalen bekannt. In den Landkreisen Breisgau Hochschwarzwald, Emmendingen und im Schwarzwald-Baar-Kreis waren im Jahr 2023 Daten des Altlastenkatasters öffentlich zugänglich. Die Daten zeigen, wo im Landkreis der Boden Schadstoffe enthält. Die Behörden haben die Probleme bereits behoben, wie sie bestätigten. Der SWR kann im Nachhinein weder die Dauer noch das Ausmaß der Datenlecks nachvollziehen. Heike Frank, Sprecherin des Landratsamts Schwarzwald-Baar-Kreis, sagt, dass wohl alle Flurstücke im Kreisgebiet bis zu zehn Wochen betroffen gewesen seien.
Grundsätzlich haben Bürgerinnen und Bürger nach Rücksprache mit den Grundbesitzenden das Recht, bei den Behörden eine Auskunft über Altlasten zu beantragen. Auch Geoportale dürfen die Daten im öffentlichen Interesse bereitstellen. Das ermöglichen verschiedene Gesetze, wie etwa das Landesbodenschutz- und Altlastengesetz. Vorab braucht es eine Verordnung der obersten Bodenschutz- und Altlastenbehörde. Laut Heike Frank lag diese zum damaligen Zeitpunkt im Schwarzwald-Baar-Kreis nicht vor.
Es ist kein Hexenwerk, Zugriffsrechte auf Daten richtig zu vergeben.
Behörden fehlt oft Fachpersonal
Die SWR-Recherchen zeigen, wie leicht Unbefugte an Behördendaten gelangen. Falsche Einstellungen, technische Probleme, ungenügende Überwachung - Open Data und Digitalisierung scheinen regionale Behörden noch immer zu überfordern. "Dabei stärken transparente Verwaltungen das Vertrauen der Bürgerinnen und Bürger in ihre Verwaltungen", sagt LfDI-Sprecher.
Christoph Sorge, Leiter des Lehrstuhls Rechtsinformatik an der Universität Saarland sagt: "Es ist kein Hexenwerk, Zugriffsrechte auf Daten richtig zu vergeben. Aber man braucht jemanden, der die Kompetenz, die Zeit und die Motivation dafür hat, das richtig zu machen und regelmäßig zu überprüfen."
Jonas Hoffmann, baden-württembergischer SPD-Landtagsabgeordneter, sagt ebenfalls: "Fehler passieren überall. Aber sie sind dort einfacher zu machen, wo Mittel, eine gute Qualifizierung und Personal fehlen."
Trotz Hinweisen aus der Bevölkerung Datenleck in Lörrach: Informationen über Grundbesitzer offen im Netz
Datenleck im Landkreis Lörrach: Nach SWR-Recherchen lagen personenbezogene Daten monatelang offen im Netz. Zehntausende Menschen sind betroffen. Der Landkreis warnt vor Betrügern.
Bestehende Strukturen können funktionieren
Cagdas Karakurt betont, dass die Digitalisierung kontinuierliche Pflege und Betreuung von Prozessen erfordert. Er empfiehlt Behörden, intern Expertise aufzubauen und Vorgänge regelmäßig zu prüfen, um sich gegen externe Eingriffe zu wappnen.
Jonas Hoffmann sagt: "Hier ist es wichtig, dass es Strukturen gibt, die bei Bekanntwerden von Fehlern oder Sicherheitslücken funktionieren. Deswegen ist es wichtig, dass es die Einrichtung des LfDI gibt."
Ein Beispiel für funktionierende Prozesse liefert Villingen-Schwenningen. Nachdem das SWR Data Lab das Landratsamt auf ein mögliches Datenleck hingewiesen hatte, reagierte die Behörde sofort. Der Datensatz wurde offline genommen, technisch und juristisch geprüft und zwei Wochen später Entwarnung gegeben.
Auch das Landratsamt Lörrach hat schnell und transparent reagiert, nachdem es vom SWR vom Ausmaß des Datenlecks erfahren hat. Das zeigt, dass Ämter schnell handeln, wenn sie alle Informationen haben und die Sicherheitslage als bedenklich einstufen. Laut SWR-Recherchen war dies in Lörrach nicht der Fall.
Sind Sie betroffen und haben Hinweise auf den Missbrauch Ihrer Daten? Dann melden Sie sich: datalab@SWR.de
Korrektur, 18.02.2024: In einer früheren Version hieß es, die Stadt Konstanz habe betont, keine personenbezogenen Daten veröffentlicht zu haben. Sie hat jedoch lediglich betont keine Namen veröffentlicht zu haben.
