Identitätsdiebstahl leichtgemacht
Der Diebstahl der persönlichen Daten von zahlreichen Menschen bei der Auskunftei Choicepoint weist auf den schludrigen Umgang mit dem wertvollen Gut hin
Der amerikanischen Auskunftei Choicepoint wurden sensible Daten von bisher über 110.000 Menschen gestohlen, das tatsächliche Ausmaß des "DatenGAUs" ist noch nicht bekannt. Obwohl grundlegende Sicherheitsbedenken außer Acht gelassen wurden, fühlt sich Choicepoint nicht für den Datendiebstahl verantwortlich.
Wenn der amerikanische Rapper Eminem seine Privatnummer im Internet findet, weil diese im angeblich "gehackten" Handy von Paris Hilton gespeichert war, dann ist dieser Datendiebstahl lästig. Außer der Beantragung einer neuen Nummer dürfte es aber wenig Aufwand bedeuten. Anders sieht es da für jemanden aus, dessen Sozialversicherungsnummer, zusammen mit Namen, Adresse und Bonitätsinformationen, in falsche Hände gerät. Eben dies ist nun mehreren Tausend Personen passiert, deren Daten die amerikanische Auskunftei Choicepoint verwaltet.
Dass der Fall überhaupt bekannt wurde, ist kalifornischen Gesetzen zu verdanken, die vorschreiben, dass ein Datendiebstahl den Betroffenen mitgeteilt werden muss. In der letzten Woche sprach Choicepoint noch von "ca. 35.000 Betroffenen", die Zahl steigt jedoch fast täglich an. Auch die Annahme des Unternehmens, dass lediglich kalifornische Bürger betroffen seien, hat sich mittlerweile als falsch herausgestellt. Die Seattle Times hat eine Aufstellung darüber, wie viele Personen in welchem Bundesstaat betroffen sind, veröffentlicht.
Lt. Robert Costa, der im Los Angeles Sheriff Department die Abteilung für Identitätsdiebstahl leitet, spricht von bis zu "500.000 Betroffenen". Choicepoint selbst sandte mittlerweile an mehr als 145.000 Menschen Schreiben, in denen auf den vermutlich stattgefundenen Diebstahl der persönlichen Daten hingewiesen wurde und die Auskunftei ihr tiefes Bedauern für daraus eventuell resultierende Unannehmlichkeiten ausdrückt. Die Firma wolle vorsichtshalber alle Unternehmenskunden auf den Diebstahl aufmerksam machen, auch wenn nicht alle betroffen sind - so die offizielle Erläuterung. Am Datendiebstahl an sich fühlt sich Choicepoint jedoch unschuldig, man übernehme aber Verantwortung. Doch bedenkt man, wie die Daten erst an Unbefugte gelangen konnten, so fällt auf, dass Choicepoints Sicherheitspolitik (bzw. der Mangel daran) erheblich zu dem Diebstahl beitragen konnte.
Die "Tarnfirma" im Internetcafe
In manchen Berichten wird auf "Tarnfirmen" hingewiesen, die die Diebe nutzten, um an die Daten zu gelangen. Dabei war es sehr viel einfacher. Der Account bei Choicepoint wurde im Namen einer tatsächlich existierenden Firma beantragt, in Wahrheit kam die Anfrage jedoch aus einem Internetcafe bzw. wurde von dem dort stehenden Faxgerät abgesandt. Eine Überprüfung, ob die Beantragenden wirklich im Namen der angegebenen Firma handelten, fand nicht statt. Lediglich die Firmen selbst sowie die zugefaxten (gefälschten) Papiere wurden genauer untersucht.
Dass es sich um Betrüger handeln könnte, wurde erst im letzten Herbst offenbar, als sich Choicepoint hilfesuchend an die Behörden wandte. Choicepoint sandte Dokumente an das Faxgerät in einem Kinko's-Shop und während dieser verdeckten Operation wurde letztendlich Olatunji Oluwatosin verhaftet. Oluwatosin wurde wegen Identitätsdiebstahls zu 16 Monaten Gefängnis verurteilt. Die Polizei bezweifelt, dass er allein gehandelt hatte. Nach der Verhaftung begannen intensive Ermittlungen, nach und nach erst wurde das wahre Ausmaß des Datendiebstahls bekannt. Bisher sind 700 Betroffene Opfer von Identitätsdiebstählen geworden, die im Zusammenhang mit dem Datendiebstahl stehen.
Gesetzliche Regulierung gefordert
Es ist nicht das erste Mal, dass Choicepoint Negativschlagzeilen macht, was den Datenschutz angeht. Im Jahr 2003 erwarb die Firma über Mittelmänner das vollständige mexikanische Wählerregister, um dieses dann kostenpflichtig den US-Behörden zur Verfügung zu stellen. Choicepoint kaufte die Firma DBT auf, die bei den Präsidentschaftswahlen 2000 in Florida für manipulierte Wählerlisten gesorgt hatte. Seitdem ist die Firma mit dem Patriot Act und über das Heimatschutzministerium gut im Geschäft (Matrix und der "Terrorquotient"). Das Unternehmen hat nunmehr reagiert, indem die Firma einen ehemaligen Geheimdienstmitarbeiter eingestellt hat, welcher die Sicherheitspolitik der Firma neu strukturieren soll.
Marc Rotenberg vom Electronic Privacy Information Center nahm den Fall zum Anlass, erneut eine gesetzliche Regulierung von Auskunfteien zu verlangen. Dass diese weitgehend "an der langen Leine" agieren, sei nicht mit dem Datenschutz vereinbar, insbesondere da es keinerlei Kontrolle durch staatliche oder private Institutionen gibt. EPICs Chris Joay Hoofnagle, schlägt in die gleiche Kerbe: "Wenn die Gesetzgeber erst das Ausmaß und die Genauigkeit der Daten bemerken, die Firmen (wie Choicepoint) verkaufen, wird sie ihre (jetzige) Einstellung bedauern."
Der Sprecher von Choicepoint, James Lee, geht die Sache gelassener an. "Die Betrüger waren eben schneller und smarter als wir", lautet sein offizieller Kommentar. "Dies ist ein Wachruf. Wir alle müssen stets aufmerksam und gewissenhaft handeln."