Datenschutzverstoß in Berlin: Accenture sammelte Daten von Bürgern in offenem Ticketsystem

Ein IT-Dienstleister der Berliner Verwaltung hat ein Ticketsystem mit Daten von Bürgern offenstehen lassen. Die Daten von 72 Personen sind betroffen.

Eine Exklusivmeldung von Lennart Mühlenmeier veröffentlicht am
Accenture meldete den Datenschutzverstoß erst nach Recherchen von Golem.de.
Accenture meldete den Datenschutzverstoß erst nach Recherchen von Golem.de. (Bild: dronepicr/Montage Golem.de/CC-BY 2.0)

"Ich bin mir ziemlich sicher, dass das Ticketsystem von Accenture einige persönliche Daten preisgegeben hat, aber ich kann keine öffentliche Bekanntmachung finden." Mit diesen Worten kontaktierte eine anonyme Quelle Golem.de. Die Person schickte Beweise, die belegen, dass ein Ticketsystem offenstand.

Stellenmarkt
  1. UI/UX Designer (m/w/d)
    OEDIV SecuSys, Bielefeld, Rostock
  2. Softwareentwickler*in / Softwareingenieur*in (w/m/d)
    Hensoldt, Wetzlar
Detailsuche

Offensichtlich fehlte eine Authentifizierung und sämtliche Tickets mitsamt realen Urkunden des Berliner Personenstandsregisters waren für das gesamte Internet einsehbar. Das ergaben Recherchen von Golem.de.

Das Ticketsystem wurde von Accenture betrieben. Das Unternehmen ist einer der größten IT-Dienstleister für die öffentliche Verwaltung und hat seinen Sitz im hessischen Kronberg im Taunus. Gemeldet hat das Unternehmen Accenture den Vorfall der zuständigen Datenschutzbehörde in Hessen jedoch nicht.

Meldung erst nach Presseanfrage

Nach einer Bitte um Stellungnahme seitens Golem.de meldete Accenture das Datenleck doch bei der Berliner Senatsverwaltung, welche die Informationen an die Landesdatenschutzbehörde weitergab.

Golem Karrierewelt
  1. Cloud Competence Center: Strategien, Roadmap, Governance: virtueller Ein-Tages-Workshop
    06.10.2022, Virtuell
  2. Airtable Grundlagen: virtueller Ein-Tages-Workshop
    31.08.2022, Virtuell
Weitere IT-Trainings

Die Senatsverwaltung für Inneres gab am 8. Juli 2022 den Verstoß in einer Presserklärung bekannt. Demnach soll die Lücke seit Mai 2022 bestanden haben und erst am 4. Juli 2022 geschlossen worden sein.

Landesamt wusste nichts von der Nutzung

Der Senat nannte Accenture nicht explizit. In der Presseerklärung hieß es nur: "Der Datenschutzverstoß ist auf das vom Unternehmen genutzte technische Supportsystem zurückzuführen." Weiter: "Das [Landesamt für Bürger- und Ordnungsangelegenheiten] LABO nutzt das Ticketsystem seit Anfang des Jahres 2020 nicht mehr und ist davon ausgegangen, dass dort keine personenbezogenen Daten mehr gespeichert sind." Dennoch konnten die Daten ausgelesen werden, wie unsere Recherchen beweisen.

Golem.de liegt eine gespiegelte Version des Ticketsystems vor. Wir fanden Geburts-, Sterbe- und Hochzeitsurkunden von realen Menschen. Anscheinend trugen Angestellte des Unternehmens oder der Verwaltung mitunter gar Ausweiskopien in dem Ticketsystem ein. Warum das Ticketsystem seit Mai 2022 offenstand und warum die Realdaten genutzt wurden, obwohl das LABO darüber nicht in Kenntnis stand, ist nicht bekannt.

Accenture beschwichtigt

Wir baten Accenture erstmalig am 4. Juli 2022 um Stellungsnahmen und erhielten Beschwichtigungen: Das Problem habe nur "in einer isolierten Testumgebung" bestanden und "nur Test- und Übungsdaten" enthalten. Am 6. Juli 2022 nannten wir beispielhaft personenbezogenen Daten aus dem Datensatz. Auf Nachfrage teilte das Unternehmen mit, dass das System "keine Live-Daten enthalten" sollte.

Die anonyme Quelle schickte uns einen Datensatz und eine öffentlich einsehbare Kopie des Ticketsystems. Die Domain, über die das offene Ticketsystem einsehbar war, ist laut Presseanfrage an Denic auf die ungarische Niederlassung von Accenture registriert. Die Denic verwaltet die Top-Level-Domain .de.

Vorfall wirft Fragen auf

Mit dem Ticketsystem wurden Fehler bei der Software für das Personenstandsregister getrackt. Mit diesem Register verwaltet die öffentliche Verwaltung, beispielsweise Standesämter, die Daten von Bürgern.

Wir sprachen mit Markus Drenger. Er ist Experte für E-Government und Open-Data-Aktivist. Drenger sagte Golem.de: "Allein schon der reine Zugriff auf diese Art von Information ist meldepflichtig. Das sind Daten, die bei einem Dienstleister so nicht landen dürfen. Zudem wirft der Vorfall Fragen auf, wie ein solch großes Unternehmen mit personenbezogenen Daten umgeht."

Die Berliner Datenschutzbeauftragte war am Freitagnachmittag nicht für eine Stellungnahme zu dem Datenschutzverstoß zu erreichen. Wir tragen eine Stellungnahme gegebenenfalls nach.

Nachtrag vom 14. Juli 2022, 16:28 Uhr

In einer vorherigen Version dieses Artikels schrieben wir, dass Accenture eine Frist mit Bitte um Stellungnahme zu gefundenen personenbezogenen Daten verstreichen lassen habe. Dies stimmte nicht. Wir haben die entsprechende Stelle korrigiert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Termuellinator 11. Jul 2022 / Themenstart

was daran ist uebertrieben? "In Medikamenten von Beyer wurden toedliche Dosen Quecksilber...

JouMxyzptlk 11. Jul 2022 / Themenstart

Nööö, die gilt ja auch an vielen anderen Stellen wo sie gut Druck macht.

tomatentee 10. Jul 2022 / Themenstart

Nix

tomatentee 09. Jul 2022 / Themenstart

Testdaten macht man in aller Regel SEHR deutlich erkennbar (Max Mustermann, Tessa Test...

Kommentieren



Aktuell auf der Startseite von Golem.de
Internet
Indien verbannt den VLC Media Player

Weder Downloadlink noch Webseite des VLC Media Players können von Indien aus aufgerufen werden. Der vermutete Grund: das Nachbarland China.

Internet: Indien verbannt den VLC Media Player
Artikel
  1. Wissenschaft: Der Durchbruch in der Kernfusion ist ein Etikettenschwindel
    Wissenschaft
    Der Durchbruch in der Kernfusion ist ein Etikettenschwindel

    National Ignition Facility hat das Lawson-Kriterium der Kernfusion erreicht, aber das gilt nur für echte Reaktoren, keine Laserexperimente.
    Ein IMHO von Frank Wunderlich-Pfeiffer

  2. Microsoft & Sony: Playstation-4-Absatz doppelt so hoch wie Xbox One
    Microsoft & Sony
    Playstation-4-Absatz doppelt so hoch wie Xbox One

    Während Sony weit über 100 Millionen der PS4-Konsolen verkauft hat, erreichte Microsoft nicht einmal halb so viele Xbox-One-Geräte.

  3. THG-Prämie: Das fragwürdige Abkassieren mit der eigenen Wallbox
    THG-Prämie
    Das fragwürdige Abkassieren mit der eigenen Wallbox

    Findige Vermittler bieten privaten Wallbox-Besitzern Zusatzeinnahmen für ihren Ladestrom. Wettbewerber sind empört.
    Ein Bericht von Dirk Kunde

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bestellbar • Playstation Sale: Games für PS5/PS4 bis 84% günstiger • Günstig wie nie: SSD 1TB/2TB, Curved Monitor UWQHD LG 38"/BenQ 32" • Razer-Aktion • MindStar (AMD Ryzen 7 5800X3D 455€, MSI RTX 3070 599€) • Lego Star Wars Neuheiten • Bester Gaming-PC für 2.000€ [Werbung]
    •  /