Am Freitag, dem 14. Juni, informierten die Büchereien Wien in einer knappen Mitteilung, dass der Onlinekatalog außer Betrieb sei. Als Grund wurde ein Hackerangriff angegeben. Zunächst klang es nach einem kurzen Ausfall. Doch über eine Woche später ist die Datenbank immer noch nicht zurück im Netz, und der Hack entpuppt sich als einer der bisher größten Datendiebstähle in Österreich. Denn bisher gab es hierzulande kaum vergleichbare Angriffe, bei denen die Daten so vieler Personen gestohlen wurden.

Entdeckt wurde die Hackerattacke am 11. Juni. Doch wie sich herausstellte, kam es schon im Vorfeld zu mehreren Angriffen, bei denen zumindest Teile der Datenbank mit den Nutzerinformationen kopiert wurden.

Wer meint, dass die Informationen, die eine Bücherei über ihre Mitglieder sammelt, nicht kritisch sein können, täuscht sich. Denn die gestohlenen Dateien enthalten umfassende personenbezogene Daten zu den Mitgliedern sowie teilweise auch höchstpersönliche Vermerke der Bibliotheksmitarbeiter über einzelne Personen. Wir klären alle wichtigen Fragen, die Mitglieder der Büchereien Wien nun wissen müssen.

Frage: Wer ist betroffen?

Antwort: Nach Angaben der Büchereien Wien wurden die Daten von etwa 710.000 Personen gestohlen. Laut einem Blogeintrag von "Offensity", einer Security-Monitoring-Lösung des Mobilfunkers A1, sind es 713.677 eindeutige Nutzer. Zwischen dem 28. September 2018 und dem 11. Juni 2019 fanden mehrere Angriffe statt – das bedeutet, dass jeder Nutzer und jede Nutzerin, die in dieser Zeitspanne Mitglied der Büchereien Wien war, betroffen ist.

Frage: Welche Daten wurden gestohlen?

Antwort: Bei dem Hackerangriff wurde eine Datenbank der Büchereien Wien kopiert. Darin enthalten sind unter anderem personenbezogene Daten. Dazu gehören Vor- und Nachname, Postanschrift, Telefonnummer, Geburtsdatum, Geschlecht, Anmeldedatum und Mailadresse. Die Dateien enthalten jedoch auch zahlreiche weitere Informationen, die in Zusammenhang mit dem Büchereidienst stehen – also etwa das Datum der letzten Ausleihe, die Ausweisnummer, Gebührenmahndaten oder wie viele Bücher ausgeborgt wurden. Bei minderjährigen Nutzern wurden auch die Namen der Erziehungsberechtigten erfasst. Außerdem wurden in der Datenbank individuelle Vermerke zu einzelnen Personen festgehalten, beispielsweise ob jemand gesperrt wurde. Nach der Analyse der Daten durch A1-"Offensity" gibt es bei 48.893 Nutzern solche Sperrvermerke mit Kommentar und Begründung. Mitunter finden sich zudem Hinweise auf das Verhalten von Personen oder ihre Einkommenssituation.

Frage: Wurden auch Passwörter gestohlen?

Antwort: Das Passwort war bisher das Geburtsdatum des jeweiligen Mitglieds. Dieses wurde auch geleakt. Von Nutzern selbst vergebene Passwörter wurden nicht veröffentlicht, da es sie bei den Büchereien Wien bisher nicht gab. In Zukunft sollen Nutzer ein selbstdefiniertes Passwort verwenden, das "ausschließlich in sicherer Form gespeichert werden wird", wie die Stadt Wien erklärt.

Frage: Sind die Daten öffentlich?

Antwort: Der Hacker hat die Daten im Internet publiziert. Schon am 10. Juni hatte eine Person auf Twitter darauf aufmerksam gemacht, an Mitgliederdaten gelangt zu sein. Weil die Stadt Wien beziehungsweise die Büchereien den Vorfall nicht sofort kommunizierten, veröffentlichte er den Datensatz. Der Twitter-User behauptet, zuvor immer wieder Sicherheitslücken gemeldet zu haben. Laut Büchereien Wien wurde jedoch "keine der relevanten Stellen" informiert.

Frage: Können die Daten missbraucht werden?

Antwort: Die Büchereien erklären: "Da die Datenart 'Passwort' nicht durch die betroffenen Leserinnen und Leser selbst gewählt werden konnte, ist davon auszugehen, dass eine missbräuchliche Verwendung anderer Internetanwendungen der betroffenen Personen mit dem vom Data Breach betroffenen Passwort ausgeschlossen ist." Gemeint ist, dass keine Passwörter geleakt wurden, die ein Nutzer etwa bei einem anderen Dienst auch in Verwendung haben könnte.

Dass eine missbräuchliche Verwendung somit ausgeschlossen ist, ist allerdings nicht ganz korrekt. Denn "häufig werden bei einem manuellen Zurücksetzen eines Passworts eben solche Dinge wie Geburtsdatum und Adresse zur Verifikation verwendet", schreibt man bei "Offensity". Was Kriminelle mit den Daten auch noch anfangen können: Identitätsmissbrauch, Versand von Spammails und Phishing. Bei Letzterem handelt es sich um den Versuch, Daten einer Person wie etwa Passwörter oder Kontonummer mittels gefälschter Websites oder E-Mails zu erfragen. Davor warnen auch die Büchereien Wien. Beim Identitätsmissbrauch können etwa Betrüger im Namen einer anderen Person im Internet mittels Bezahlung auf Rechnung bestellen und Pakete vor der Zustellung abfangen. Die Rechnung erhält dann das ahnungslose Opfer.

Frage: Warum könnte der Datenleak darüber hinaus zum Problem werden?

Antwort: Speziell im Fall der Daten von Minderjährigen könnten sich Personen Kenntnisse über deren Erziehungsberechtigte verschaffen. Problematisch ist das zum Beispiel dann, wenn jemand keinen Kontakt mehr zum Ex-Partner oder der Ex-Partnerin hat und dieser dann über die im Netz geleakten Daten die neue Anschrift erfährt.

Frage: Wann wird der Katalog wieder online sein?

Antwort: Laut Elke Bazalka, Leiterin der Büchereien Wien, kommt ein neues System zum Einsatz, das derzeit noch überprüft wird. Man geht davon aus, dass der Katalog ab 1. Juli wieder online ist. (Birgit Riegler, 26.6.2019)