2661261

Bundesagentur für Arbeit bestätigt: Nutzerdaten für Fremde einsehbar

23.05.2022 | 13:45 Uhr | Hans-Christian Dirscherl

Bei der Bundesagentur für Arbeit konnten Nutzer fremde Nutzerdaten einsehen. Doch die Bundesagentur informiert die betroffenen Nutzer nicht. Update.

Update 23.5.: Bei der Uhrzeit, ab der das Problem erstmals aufgetreten sein soll, widersprechen sich Bundesagentur für Arbeit und eine betroffene Nutzerin. Update Ende

Das regionale Nachrichtenportal Regensburg Digital berichtet , dass sich eine Kundin der Bundesagentur für Arbeit bei ihrem dortigen Nutzerkonto einloggte und danach fremde Daten sehen konnte. Demnach konnte sie den Schriftwechsel zwischen einem Mitarbeiter der Bundesagentur und einer ihr fremden Person sehen – offensichtlich ein anderer Kunde der Bundesagentur für Arbeit. Die Frau stellte fest, dass sie in dem Account des fremden Nutzers eingeloggt war, obwohl sie sich ja für ihr eigenes Konto angemeldet hatte. Die Dame hätte alle Daten des fremden Arbeitssuchenden einsehen können.

Kurz und knapp: Datenpanne

Die Frau informierte die Bundesagentur für Arbeit. Kurz darauf bekam sie eine Mail von einem IT-Fachbetreuer aus Sachsen. Die Mail hatte den Betreff „Datenpanne“ und enthielt folgenden Text: „Danke für Ihre Rückmeldung. Wir werden der Sache nachgehen. Dies darf nicht passieren.“

Bundesagentur für Arbeit bestätigt Datenpanne

Die Stabsstelle Datenschutz der Arbeitsagentur bestätigte gegenüber Regensburg Digital, dass es am 18. Mai 2022 zwischen 8 und 9.35 Uhr möglich war, dass Nutzer nach dem Login Zugriff auf fremde Nutzerdaten bekamen. Der Grund für den Fehler war demnach eine „Softwareänderung“ im Online-Portal der Bundesagentur für Arbeit. Später ergänzte die Bundesagentur, dass das Problem bei einem Software-Updatevorgang verursacht wurde. Dabei sei es zu einem Fehler bei der Anmeldefunktion gekommen.

Und weiter: „In einzelnen Fällen wurden die Anmeldedaten von Kundinnen und Kunden nach der Anmeldung nicht vollständig gelöscht beziehungsweise nicht überschrieben. Damit konnten Teile des Datensatzes von vorher angemeldeten Kundinnen und Kunden eingesehen werden.“

Der Fehler sei sofort nach Bekanntwerden behoben worden, ab 10.05 Uhr soll alles wieder einwandfrei funktioniert haben.


Betroffene Nutzerin und BA widersprechen sich

Doch die betroffene Nutzerin, die den Vorfall gemeldet hat, betont , dass sie sich bereits um 7.30 Uhr eingeloggt habe. Demzufolge würde die Auskunft der Bundesagentur zu dem Vorfall zumindest in diesem Detail falsch sein. Wir fragten diesbezüglich bei der Bundesanstalt nach.

Die Bundesanstalt bleibt bei ihrer Darstellung und widerspricht der Nutzerin: „In der IT wurde das Fehlerbild nochmals überprüft.  Der Start der Aktualisierung mit der Fehlfunktion in Einzelfällen erfolgte exakt um 7.49 Uhr.  Die Anpassung der mehrfach redundant aufgebauten Systemplattformen im laufenden Betrieb benötigte eine Zeitspanne bis zum vollständigen Ausrollen bis 8.00. Ab diesem Zeitpunkt trafen auch erste Kundenmeldungen bei der BA ein. Weitere Analysen hinsichtlich des von der Kundin bereits um 7.30  bemerkten Fehlerbildes konnten wir anhand der uns vorliegenden Daten nicht nachvollziehen. “ Zitat Ende

Zunächst nur spärliche Kommunikation

Auf der Webseite der Bundesagentur stand anfangs nur für kurze Zeit eine entsprechende Information, die bald wieder offline genommen wurde. Die betroffenen Nutzer informierte die Bundesagentur aber offensichtlich nicht generell. Nur in der BA-App scheint es einen entsprechenden Hinweis gegeben zu haben, wie Borncity schreibt .

Mittlerweile hat die Bundesagentur aber eine neue Information zu dem Datenschutzvorfall veröffentlicht. Die Bundesagentur nennt keine Zahlen dazu, wie viele Arbeitssuchende von der Offenlegung ihrer vertraulichen Daten betroffen waren. Anscheinend weiß die Bundesagentur nicht, wer und wie viele Nutzer betroffen sind: "Wie viele Nutzerinnen und Nutzern von dem Problem betroffen waren, lässt sich nicht mehr feststellen."

Doch jetzt stellt sich Frage, ob die Bundesagentur für Arbeit laut der DSGVO nicht verpflichtet ist, alle Betroffenen direkt zu informieren.

Stellungnahme der BA gegenüber PC-WELT

PC-WELT stellte der Bundesagentur für Arbeit einige Fragen zu diesem Vorfall. Die Antwort der BA erreichte uns zeitnah. Wir geben die Stellungnahme samt unseren Fragen hier in vollem Wortlaut wieder.
 
Frage: Wann ist genau der Vorfall aufgetreten, wie lange dauert das und wodurch wurde das Offenlegen der Daten verursacht?

Antwort der BA: "Das Online-Portal der BA steht 7*24 Std. den Kundinnen und Kunden zur Verfügung. Online-Systeme müssen regelmäßig mit Betriebssystem – und IT-Sicherheitsänderungen (Patches) versorgt werden. Beim Update am Dienstag wurde ein Aktualisierungs- und Bereinigungsprozess für einen von mehreren temporären Systemspeichern (Systemcontainer) nicht richtig gestartet. Am Morgen des 18. Mai 2022 kam es in der Folge zwischen 8 Uhr und 9:35 Uhr zu einem technischen Fehler bei der Anmeldefunktion des Online-Portals der Bundesagentur für Arbeit. In einzelnen Fällen wurden die Anmeldedaten von Kundinnen und Kunden nach der Anmeldung nicht vollständig gelöscht beziehungsweise nicht überschrieben. Damit konnten Teile des Datensatzes von vorher angemeldeten Kundinnen und Kunden eingesehen werden. Nach Bekanntwerden des Fehlers wurde um 9:35 Uhr die Online-Anmeldefunktion deaktiviert. Der Fehler wurde umgehend behoben. Um 10:05 Uhr stand die Online-Anmeldefunktion wieder fehlerfrei zur Verfügung.
Somit bestand dieser Fehler für ca. 90min."
 
Frage: Welche Webseiten und Apps waren genau betroffen?
Antwort der BA: "Es waren die Webseiten und Dienste betroffen, die eine Benutzerauthentifizierung erforderten."
 
Frage: Wie viele Nutzer waren betroffen?
Antwort der BA: "Der Fehler wurde nach kurzer Zeit behoben.
Wie viele und welche Personen in diesem Zeitfenster betroffen waren, lässt sich im Nachhinein zwar nicht mehr feststellen. Das Problem trat aber ausschließlich in diesem Zeitfenster und ausschließlich in einer bestimmten Konstellation auf, nämlich wenn beide Anwender zufällig für einen Sekundenbruchteil gleichzeitig auf dem gleichen temporären Systemspeicher zugebucht waren."

Frage: Hat die BA die Nutzer bereits informiert? Falls ja: wie? Falls nein: warum nicht?
Antwort: "Wer genau davon betroffen war, kann leider nicht mehr ermittelt werden. Auf der Homepage arbeitsagentur.de wurde aber ab Mittag eine Störmeldung veröffentlicht. Bürgerinnen und Bürger können sich anhand eines Kontaktformulars an das Kundenreaktionsmanagement ihrer Agentur für Arbeit wenden. Einen Hinweis über den Vorfall finden Sie auf unserer Homepage, s. folgende Frage."
 
Frage: Wieso stand ein entsprechender Hinweis nur kurzzeitig auf der Webseite der BA?
Antwort der BA: "Es gab zuerst eine Meldung in Form eines 'Störers', inzwischen haben wir eine Informationskachel auf unserer Homepage auf der Einstiegsseite für Privatpersonen eingefügt und dort mit mehr Informationen hinterlegt: unter „Aktuelle Informationen“ (weiter unten) und https://www.arbeitsagentur.de/news/it-vorfall ".
 
Frage: Sind die zuständigen Datenaufsichtsbehörden und der Bundesdatenschutzbeauftragte bereits informiert? Wann erfolgt das?
Antwort der BA: "Ja, sie sind am gleichen Tag informiert worden".
 
Frage: Gibt es Hinweise, dass Hacker den Vorfall bereits ausnutzen? Beispielsweise für Identitätsdiebstahl?
Antwort der BA: "Nein. Das ist auch sehr unwahrscheinlich. Denn erstens ist die Störung ja ausschließlich kurzzeitig aufgetreten und ausschließlich in einer Konstellation, die sich nicht absichtlich herbeiführen lässt."

Autovermietung Buchbinder informierte betroffene Kunden nie

Dass Nutzer, die von einem schweren Datenschutzverstoß betroffen sind, keineswegs immer informiert werden, zeigt auch der Fall der Autovermietung Buchbinder: Autovermietung Buchbinder – keine Strafe trotz riesiger Datenpanne.

PC-WELT Marktplatz

2661261