Wien - 214.000 Datensätze von Gis-Kunden haben die Hacker von Anonymous wie berichtet kopiert, 96.000 davon mit Kontonummern. "Praktisch jedermann leicht zugänglich" nannten die Hacker die Daten. Sie wollten mit der Aktion nach eigenem Bekunden "die eklatanten Verstöße der Gis gegen das Datenschutzgesetz aufzeigen" und ihre mangelnde Sicherheit.

Betroffen waren Gis-Kunden, die seit 2007 ihre Daten über die Webseite der ORF-Gebührentochter gemeldet oder geändert hatten. Sie können nun Schadenersatz von der Gis fordern, erklärt der auf Datenschutz spezialisierte Rechtsanwalt Rainer Knyrim dem STANDARD - "wenn es einen konkreten Schaden gibt".

Wenn einer oder eine der 96.000 etwa aus Sorge um die Sicherheit das Konto wechselt, könnte er oder sie die Spesen dafür bei der Gis geltend machen. Zunächst einfach fordern, bei Ablehnung müsste er oder sie klagen. Der - in diesem Fall überschaubare - Schaden müsste individuell eingeklagt werden, sagt Knyrim. Arbeiterkammern oder Konsumentenschützer könnten solche Klagen unterstützen.

Gis "primär geschädigt"

Der Gis liegen bisher keine Forderungen auf Schadenersatz vor, sagt Herbert Denk, Sprecher der Gebührentochter, dem STANDARD.

Entsprechend dem Datenschutzgesetz hat die Gis alle Betroffenen per Mail oder Brief informiert, dass ihre Daten von den Hackern kopiert wurden. Sie empfiehlt den 96.000, Bewegungen auf ihrem Konto genauer im Blick zu behalten.

Denk erklärt: "Die primär Geschädigten sind wir. Das waren unsere Daten, die illegal kopiert wurden." Bisher gebe es keine Anzeichen für "schuldhaftes Verhalten" der Gis, sagt Denk.

Das sieht Martin Prager, Sprecher der IT-Sicherheitsexpertengruppe der Wirtschaftskammer anders: Die Gis habe hier "mit Sicherheit fahrlässig gehandelt", erklärte Prager der APA.

Die Gebührentochter kündigte nach dem Hack an, sie werde man gemeinsam mit dem CERT (Computer Emergency Response Team) Sicherheitskonzepte ausarbeiten, um künftige Hackerangriffe zu vermeiden. Eine neue Arbeitsgruppe befasse sich mit IT-Sicherheit und datenschutzrechtlichen Fragen im ORF-Konzern.

"Datendiebstahl kriminell"

Heimische Unternehmen investierten "verschwindend gering" in Sicherheit, erklärt Gerald Kortschak, Manager der Informationssicherheitsfirma sevian7 IT development. Vor allem Klein- und Mittelbetriebe täten das oft erst nach einem Angriff.

Trotz unternehmerischen Leichtsinns liege die Schuld aber nie beim Angriffsopfer, betont Prager von der Wirtschaftskammer. "Datendiebstahl ist kriminell, egal aus welchem Motiv heraus." Anders als bei gesellschaftspolitisch motivierten Angriffen, wo Hacker - wie im Falle der "Anonymous"-Attacke auf die Web-Seiten der GIS, der FPÖ und der SPÖ - selbst auf den erfolgten Coup hinweisen, falle der Großteil der virtuellen Überfälle gar nicht erst auf. "Du wirst einen erfolgreichen Hack, der wirtschaftlich motiviert war, nie merken", sagt Pichlmayr. Auch mangels technischen Know-hows. (APA, fid, DER STANDARD; Printausgabe, 2.8.2011)