Ein Konzept für einen Versicherungsvertrag. Nur eines von unzähligen privaten Dokumenten.
Sogar gescannte Kontoauszüge der Kunden fanden sich auf dem frei zugänglichen FTP-Server des Beraters.
Man sollte meinen, der Finanzdienstleister AWD sei nach diversen Datenklau-Skandalen der jüngeren Vergangenheit besonders sensibilisiert, was den Umgang mit vertraulichen Informationen betrifft. Nicht so in Österreich: Hier fanden sich nachweislich für einige Stunden auf dem frei zugänglichen, also nicht passwortgeschützten FTP-Server des Wiener AWD-Beraters Gerhard V. hochsensible Daten, die jedermann einsehen konnte: Scans von Versicherungspolizzen, Konto- und Fondsauszügen, Modellrechnungen, Reisepass- und Führerschein-Kopien, Scans von Vollmachten und Finanzierungsanträgen. Die Daten waren rund 400 Kunden namentlich zuordenbar.
Beim Googlen entdeckt
Wer den Server aufrief, fand zunächst nur zwei unscheinbare Ordner. Wer auf den ersten davon klickte, erhielt fünf Unterordner. Einer davon trug den Namen "Data". Und dort fanden sich neuerlich mehrere Sub-Ordner, von denen einer rund 400 weitere Ordner aufwies, die mit Familiennamen bezeichnet waren. In jedem einzelnen dieser Namensordner fanden sich dann pdf- und Word-Files, Excel-Sheets und auch immer wieder jpg-Files: Pässe, Führerscheine, und sogar Kinderfotos. In manchen anderen Ordnern befanden sich außerdem neueste Software im Wert von einigen tausend Euro.
Schwer zu finden waren die Daten nicht: Ein Leser machte den sensiblen Fund beim Googlen und informierte derStandard.at. Damit konfrontiert, meinte V. nur, dass er sich das "überhaupt nicht vorstellen" könne. Er betreibe mehrere FTP-Server, seines Wissens allesamt zugriffsgeschützt. Mit der AWD habe das übrigens auch nichts zu tun, beteuerte V., denn es handle sich eben um einen privaten Server. Dennoch parkt er dort die sensiblen Kundendaten. Beziehungsweise parkte: Kurz nach dem Anruf von derStandard.at war der Server nicht mehr erreichbar.
Der Finanzdienstleister AWD hatte in den vergangenen Jahren neben zahlreichen missglückten Beratungsfällen, die auch in Österreich noch gerichtsanhängig sind, mit mehreren großangelegten Diebstahlsfällen hochsensibler Daten zu kämpfen. Bei dem jüngsten Wiener Fall handelt es sich aber definitiv um keinen Diebstahl: Der FTP-Server ist auf den Namen des Beraters registriert.
"Verstoß gegen interne Richtlinien"
AWD-Österreich-Pressesprecher Hansjörg Nagelschmidt sagt gegenüber derStandard.at, er könne sich den geschilderten Fall ebenfalls schwer vorstellen. Kundendaten unterliegen der Geheimhaltung, dies sei "völlig klar". Der Fall des Wiener Beraters, so der AWD-Sprecher, dürfte jedenfalls schwer den internen Datenschutz-Richtlinien widersprechen. (map, derStandard.at, 3.5.2011)