Umfangreiches Daten-Leck in der lettischen Steuerbehörde VID
15.02.2010
Ein Bericht des LTV1-Fernsehmagazins DeFacto, der am 14.2.10 ausgestrahlt wurde, schlägt hohe Wellen. Demnach waren 7,4 Millionen elektronisch erfasste Dokumente, in denen der Valsts Ie??mumu dienests (VID), also das lettische Finanzamt, die persönlichen Daten der Steuerzahler erfasst, über das Internet frei zugänglich. So konnten die Journalisten u.a. ihre eigenen Gehaltsangaben und den Verdienst der VID-Chefin Nelija Jezdakova über die VID-Server einsehen. Jedakova erhielt im Mai 1999 Lats (=2822 Euro) vor Steuern. Eine obskure Gruppierung mit dem Namen 4ATA (4-?s Atmodas Tautas armijas/ die Volksarmee des vierten Erwachens) hatte dem Politmagazin den Hinweis zugespielt. Zirka 10 Tage vor der Ausstrahlung des TV-Berichts wurde die Datenlücke geschlossen.
Das Webportal delfi.lv schätzt, dass es sich um das umfangreichste Datenleck handelt, das sich bislang in Lettland aufgetan hat. Auf den zugänglichen 120 Gigabytes fanden die DeFacto-Redakteure beispielsweise neben ihren eigenen Gehaltslisten und ihren staatlichen Personalkennziffern auch jene der VID-Angestellten. Jezdakova konnte vor laufender Kamera nur noch die Richtigkeit der Angaben bestätigen. Die Repräsentanten vieler Firmen sorgen sich nun um die Datensicherheit ihrer Mitarbeiter. So könnten beispielsweise Unbefugte am Heimcomputer Daten des Fernwärmeversorgers R?gas siltums eingesehen haben. Viele Steuerzahler müssen nun fürchten, dass ihre Daten über schwarze Kanäle veröffentlicht werden: Wie hoch sind ihre Gehälter, wieviel Steuern zahlten sie oder begingen sie etwa Steuerbetrug? Persönliche Daten könnten missbraucht werden, um Bürger öffentlich anzuprangern.
4ATA sieht denn auch Methode in diesem Datenloch. Sie informierte die DeFacto-Redaktion mit einer E-Mail. Die selbst ernannten Armisten hätten mit Agenten gesprochen, die mit der Einrichtung des VID-Computerprogramms beschäftigt gewesen seien. Hochrangige VID-Amtsinhaber hätten gefordert, ein solches Datenleck zu programmieren, um im Bedarfsfall sensible Daten zu verbreiten. Bislang sind die Ziele von 4ATA unklar. Die `Armisten`, die sich in der Tradition der lettischen Geschichte als Volksarmee des nationalen Erwachens betrachten, wollen die Letten nach eigenen Angaben im Kampf für eine bessere Zukunft vereinen. Damit sie nicht vorzeitig von den lettischen Sicherheitsbehörden entdeckt werden, agierten sie von den Britischen Inseln aus.
Eine beabsichtigte Datenlücke oder ein Flüchtigkeitsfehler der Programmierer? Laut delfi.lv zahlte VID 2008 den Firmen Ernst&Young Baltic und KPMG Baltics 1.063.524 Lats (=1504272 Euro) zur Überprüfung und Beratung bei der Datensicherheit. Eine “nicht geringe Summe” sei auch an Exigen Services geflossen, dessen Mitarbeiter das elektronische Steuererfassungssystem programmiert hatten. Inzwischen (16.2.10) weist die Firma KPMG Baltics aber darauf hin, an der Endversion des Programms nicht beteiligt gewesen zu sein. Die Firma Ernst&Young Baltic erklärt, dass sie nicht mit der Systemprüfung beauftragt gewesen sei.
Die DeFacto-Journalisten befragten in ihrer Sendung lettische Computerexperten danach, wie sie den Vorgang einschätzen. Degi Karajevs, Chefredakteur des Fachblatts Digital Times, meint, dass man jene, die Einblick in VID-Daten nahmen, nicht als Hacker bezeichnen könne. Jeder, der eine E-Mail von der Webseite mit dem Datenloch erhalten habe, konnte die VID-Daten anderer betrachten. Das konnte auch unbeabsichtigt geschehen, man musste dafür keinen Code oder ein Passwort knacken. Der Besucher dieser VID-Webseite wusste noch nicht einmal, dass er etwas Unerlaubtes tat. Karajevs hatte es selbst auf der VID-Homepage ausprobiert: “Ich besuchte einfach die Webseite, ohne dafür spezielle Mittel einzusetzen, ohne irgendeine böse Absicht. Ich tippte dann einfach eine Adresse ein, drückte auf die Enter-Taste und erblickte eine Liste mit irgendwelchen fremden Daten.” Und diese Daten konnte er nicht nur einsehen, sondern auch ändern: “Ich änderte ein paar Zahlen und erhielt veränderte Daten. Dabei habe ich nichts geknackt, gegen kein Gesetz verstoßen. ”
Karajevs macht die Nächlässigkeit der großen Firmen verantwortlich, wenn sie staatliche Aufträge erhielten. Die würden nach dem Prinzip vergeben: “Jener, von der man am meisten zurückbekommt.” Die Produktqualität, Funktionalität, technische Perfektion, Aktualität spielten dabei keine Rolle. ”Schaut man sich die Gestalt der VID-Homepage an – das ist doch letztes Jahrhundert.”
Nun hat die Suche nach den juristisch Verantwortlichen begonnen. Delfi.lv berichtet, dass seit letzten Donnerstag die lettische Staatspolizei ermittelt. In der Regierung herrsche seitdem große Nervosität, weil nicht bekannt sei, in wie großem Umfang VID-Daten auf den Computern Unbefugter gelandet seien.
Dieser Skandal sensibilisiert nun zwangsläufig das politische Establishment für das Thema Datenmissbrauch. Jüngst hatte etwa die Hälfte der lettischen EU-Parlamentarier gegen die Aufkündigung des SWIFT-Abkommens gestimmt, dass US-Behörden den Zugriff auf Transferdaten europäischer Bankkunden gewähren sollte. Sie wähnten, dass lediglich “Antiamerikanismus” der Grund für die Weigerung der Parlamentsmehrheit sei, dem SWIFT-Abkommen zuzustimmen.
Externe Linkhinweise:
Atpakaï
