In Salzburg dürfte ein 20-Jähriger eine Sicherheitslücke im Online-Wählerverzeichnis der Arbeiterkammer genutzt haben, um mit einem Programm Sozialversicherungsnummern, Namen, Titel und Adressen von Wahlberechtigten auszulesen. Die Arbeiterkammer spricht von einem Hackerangriff und meldete den Vorfall der Datenschutzkommission. Zudem behält man sich rechtliche Schritte vor.
Wie die "Salzburger Nachrichten" am Freitag berichteten, veröffentlichte der Mann die von ihm gefundene Sicherheitslücke selbst im Internet. Er meldete sich auch bei der AK Salzburg, betonte dabei aber, die abgegriffenen Daten nicht gespeichert zu haben. Im Online-Wählerservice der Arbeiterkammer konnten Berufstätige mittels ihrer Sozialversicherungsnummer nachsehen, ob sie wahlberechtigt sind.
"kleines Skript"
Auf der Plattform "Reddit" meinte der 20-Jährige, ihm sei nicht ganz wohl dabei gewesen, dass mit einer zehnstelligen Nummer, wobei sechs für das Geburtsdatum stehen, Daten preisgegeben werden. "Also habe ich ein wenig herumexperimentiert." Er schrieb ein "kleines Skript", das verschiedene Ziffernkombinationen ausprobierte. "Das dauerte dann ein bis zwei Minuten pro Datum. Später habe ich herausgefunden, dass eine der vier Stellen berechenbar ist und eine andere nicht 0 sein darf." Das habe die Zahl der Möglichkeiten und die Dauer deutlich reduziert.
Die Arbeiterkammer Salzburg hat das Wählerservice mittlerweile vom Netz genommen. "Wir reden hier nicht von einem Lausbubenstreich. Das ist kein Kavaliersdelikt. Das ist ein Hackerangriff. Und mit diesem Angriff hat der junge Mann auch noch im Internet geprahlt", sagte AK-Präsident Peter Eder. Die EDV-Abteilung der Arbeiterkammer habe bei der "Brute-Force-Attacke" 450.000 Angriffe binnen vier Tagen registriert. Üblicherweise würden pro Tag 300 bis 500 Personen im Wählerservice online nachsehen, ob sie wahlberechtigt seien. All diese "Angriffe" seien von drei IP-Adressen aus getätigt worden. Diese habe die AK gespeichert.
Elf Personen anbgefragt
Laut Arbeiterkammer konnte der 20-Jährige inklusive seiner eigenen nur die Daten von elf Personen abfragen. Er habe dazu Wahlberechtigte gesucht, die am gleichen Tag wie er Geburtstag haben. Die zehn Betroffenen seien am Donnerstag darüber informiert worden. Auch die Datenschutzbehörde hat eine Meldung erhalten.
Klar sei aber auch: Kraft des Gesetzes seien diese Daten im Wählerverzeichnis ohnehin eine Woche öffentlich aufzulegen. "Bei der direkten Abfragemöglichkeit der Wahlberechtigung zur AK-Wahl war der Servicegedanke für unsere Mitglieder im Vordergrund", erklärte die AK. Nun könnte das Online-Wählerservice möglicherweise Geschichte sein. Arbeitnehmer müssten dann wieder auf die Bezirksstellen fahren und in die Wählerverzeichnisse schauen. (APA, 1.2.2019)