„Datenpanne“: Arbeitsagentur weiß nicht, wer betroffen ist
Nach dem Datenschutzvorfall, bei dem eine sensible Daten von Nutzern des Online-Portals der Bundesagentur für Arbeit für Fremde einsehbar waren, liefert die Behörde kaum erhellende Antworten. Wer betroffen ist, weiß man nicht. Der Bundesdatenschutzbeauftragte ist nun auf den Fall aufmerksam geworden.
Ist gespannt auf die Meldung der „Datenpanne“ durch die Bundesagentur für Arbeit: der Bundesdatenschutzbeauftragte Ulrich Kelber.
Die Bundesagentur für Arbeit, weiß nicht, wer und wie viele Nutzer von dem Datenleck betroffen sind, das am Mittwochvormittag auf ihrem Online-Portal aufgetreten ist. Das räumt eine Sprecherin der Behörde auf Nachfrage unserer Redaktion ein. Wie berichtet, fanden Arbeitssuchende, die sich dort anmeldeten, sich plötzlich in einem fremden Account wieder und hatten Zugriff auf den Schriftverkehr und weitere Daten von anderen Arbeitssuchenden. Eine Frau aus Regensburg hatte unsere Redaktion auf diesen Fall aufmerksam gemacht, den ein IT-Fachbetreuer gegenüber ihr zunächst als „Datenpanne“ bezeichnet hatte.
![Jungpflanzenmarkt_1024x500[1]](/wp-content/plugins/widgetkit/cache/gallery/67304/Jungpflanzenmarkt_1024x500[1]-ab6e4fc5d1.jpg)
„Technischer Fehler“ beim Sicherheitsupdate
In einer Stellungnahme gegenüber unserer Redaktion spricht die Bundesagentur nun von einem „technischen Fehler“, der während eines Sicherheitsupdates bei der Anmeldefunktion aufgetreten sei:
„Beim Update am Dienstag wurde ein Aktualisierungs- und Bereinigungsprozess für einen von mehreren temporären Systemspeichern (Systemcontainer) nicht richtig gestartet. Am Morgen des 18. Mai 2022 kam es in der Folge zwischen 8 Uhr und 9:35 Uhr zu einem technischer Fehler bei der Anmeldefunktion des Online-Portals der Bundesagentur für Arbeit. In einzelnen Fällen wurden die Anmeldedaten von Kundinnen und Kunden nach der Anmeldung nicht vollständig gelöscht beziehungsweise nicht überschrieben. Damit konnten Teile des Datensatzes von vorher angemeldeten Kundinnen und Kunden eingesehen werden.“
Nach Bekanntwerden des Fehlers habe man die Anmeldefunktion um 9:35 Uhr deaktiviert, um den Fehler „umgehend“ zu beheben. „Um 10:05 Uhr stand die Online-Anmeldefunktion wieder fehlerfrei zur Verfügung.“
Bundesagentur weiß so gut wie nichts
Die Regensburgerin Daniela Meier, die den Vorfall gemeldet hatte, bezweifelt angesichts dieser Aussagen allerdings, dass die Bundesagentur überhaupt weiß, wann der Fehler aufgetreten ist. „Ich habe mich um 7.30 Uhr angemeldet und landete in einem fremden Account. Also stimmen schon die Zeitangaben nicht.“ Sie frage sich auch, warum man die Seite bei einem Update nicht einfach kurzzeitig vom Netz nehme. „Das macht jede Bank und jedes andere Portal, um genau solche Fehler zu vermeiden.“ Und sie könne nach wie vor nicht ausschließen, dass auch jemand Zugriff auf ihre Daten hatte.
Wer und wie viele Personen betroffen waren, ist der Bundesagentur laut eigener Aussage ohnehuin nicht bekannt. Beides könne „leider nicht mehr ermittelt werden“, heißt es in der Stellungnahme. „Das Problem trat aber ausschließlich in einer bestimmten Konstellation auf wenn beide Anwender zufällig auf dem gleichen temporären Systemspeicher zugebucht waren.“
Informationspolitik der Agentur „unterste Schublade“
Weiter verweist die Bundesagentur darauf, dass auf der Homepage „eine Störmeldung veröffentlicht“ worden sei. „Bürgerinnen und Bürger können sich anhand eines Kontaktformulars an das Kundenreaktionsmanagement ihrer Agentur für Arbeit wenden.“ Doch wie bereits gestern berichtet, war diese Meldung bereits gestern Mittag wieder von der Seite der Arbeitsagentur verschwunden und ist seitdem auch nicht mehr aufgetaucht.
Der IT-Experte Günter Born, der den „gravierenden Datenschutzvorfall“ in seinem Blog aufgegriffen hat, bezeichnet dieses Vorgehen der Arbeitsagentur denn auch als „’unterste Schublade’ und so nicht in Ordnung“. „Wenn ich nicht gänzlich falsch liege, sind Betroffenen gemäß DSGVO konkret zu informieren. Denn das Ganze wirft natürlich die Frage auf, wie viele Nutzer von diesem Datenschutzvorfall, auf Grund eines technischen Fehlers, betroffen waren? Und wie sollen Betroffene über diesen Datenschutzvorfall in Kenntnis gesetzt werden, wenn die Information wieder auf der Portal-Seite der BA verschwunden ist.“
Bundesdatenschutzbeauftragter wartet interessiert auf die Meldung des Vorfalls
Auch der Bundesdatenschutzbeauftragte Ulrich Kelber ist durch unsere gestrige Berichterstattung auf den Vorfall aufmerksam geworden. Das sei „definitiv“ ein Thema für ihn, schreibt Kelber auf die Nachfrage eines Nutzers auf Twitter. „Die Meldung der Datenpanne durch die Agentur (verpflichtend) wird bestimmt interessant.“ Die Bundesagentur hat das Datenleck nach eigenen Angaben bereits „den entsprechenden Institutionen des Datenschutzes und der IT-Sicherheit gemeldet“. Insbesondere mit dem Bundesdatenschutzbeauftragten sei man „weiterhin in Kontakt“.
UPDATE
Zwischenzeitlich hat die Arbeitsagentur auf ihrer Homepage eine etwas ausführlichere Stellungnahme inklusive Entschuldigung veröffentlicht. Hier vollständig zitiert:
IT-Vorfall im BA-Portal
Einzelne Nutzerinnen und Nutzer des BA-Portals konnten kurzzeitig fremde Daten einsehen. Das Problem wurde umgehend behoben.
20.05.2022 – Aufgrund eines Software-Fehlers konnten Nutzerinnen und Nutzer des Portals der Bundesagentur für Arbeit (BA) kurzzeitig einzelne Daten anderer Kundinnen und Kunden einsehen. Das Problem wurde umgehend gelöst.
Der Fehler trat am Morgen des 18. Mai 2022 im Rahmen einer Betriebssystem- und Sicherheitsaktualisierung auf. Einzelne Nutzerinnen und Nutzer wurden, nachdem sie sich im Portal angemeldet hatten, nicht wieder korrekt abgemeldet. Dadurch wurden Bruchstücke ihrer Daten angezeigt, wenn anschließend andere Nutzerinnen und Nutzer automatisiert im selben Systembereich angemeldet wurden. Die BA hat unmittelbar nach Bekanntwerden des Problems den Anmeldedienst gestoppt und damit weitere Fehlanmeldungen verhindert.
Der Vorfall wurde den entsprechenden Datenschutzstellen gemeldet. Zudem steht die BA dazu mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) in Kontakt. Wie viele Nutzerinnen und Nutzern von dem Problem betroffen waren, lässt sich nicht mehr feststellen.
Der Schutz der persönlichen Daten ihrer Kundinnen und Kunden hat für die BA höchsten Stellenwert. Die BA entschuldigt sich ausdrücklich für diesen Fehler. Sollten Sie persönlich davon betroffen gewesen sein, nehmen Sie bitte Kontakt zum Kundenreaktionsmanagement Ihrer zuständigen Agentur für Arbeit auf.
Hutzelwutzel
| #
Danke an RD für den Bericht über diese Sache. Bisher fand ich dazu nichts in anderen Online-Medien!
Fällt niemandem etwas auf? Seit einigen Jahren gibts Datenlücken bei der Schufa, Banken und nun auch der Arbeitsagentur. Die meisten dieser Lücken werden wenn irgendwie vermeidbar gar nicht an die Öffentlichkeit gemeldet. Da scheint mir umfassend “durchleuchtet” zu werden, und es sollen Gruppen Daten bekommen, denen man diese sonst nicht geben kann?
Strategos
| #
Es haben durchaus auch andere Online-Medien darüber berichtet, z.B.: https://www.pcwelt.de/news/Bundesagentur-fuer-Arbeit-Fremde-Nutzerdaten-waren-einsehbar-11236596.html
Daniela
| #
@Strategos
Danke für den Hinweis. Habe mir das durchgelesen. Was soll man sagen, schöne sichere onlinewelt, wie sehr ich doch die Zeit misse, in der unsere Daten fein säuberlich auf Papier standen. Fest verschlossen in Aktenschränken. Die Verwendung von PCs ausschließlich offline war.
Ich denke mir immer öfter, ob wir uns damit nicht selbst ein Stück unserer Identität und Persönlichkeit nehmen, weil immer alles irgendwo im www hinterlegen.