Datenschutzverstoß in Berlin: Accenture sammelte Daten von Bürgern in offenem Ticketsystem

Ein IT-Dienstleister der Berliner Verwaltung hat ein Ticketsystem mit Daten von Bürgern offenstehen lassen. Die Daten von 72 Personen sind betroffen.

Eine Exklusivmeldung von Lennart Mühlenmeier veröffentlicht am
Accenture meldete den Datenschutzverstoß erst nach Recherchen von Golem.de.
Accenture meldete den Datenschutzverstoß erst nach Recherchen von Golem.de. (Bild: dronepicr/Montage Golem.de/CC-BY 2.0)

"Ich bin mir ziemlich sicher, dass das Ticketsystem von Accenture einige persönliche Daten preisgegeben hat, aber ich kann keine öffentliche Bekanntmachung finden." Mit diesen Worten kontaktierte eine anonyme Quelle Golem.de. Die Person schickte Beweise, die belegen, dass ein Ticketsystem offenstand.

Stellenmarkt
  1. SAP Job als BPC Berater (m/w/x) mit Erfahrung im Management / Controlling & Konsolidierung
    über duerenhoff GmbH, München
  2. Senior-Softwareentwickler (m/w/d) Embedded Systems
    HARTING Systems GmbH, Espelkamp
Detailsuche

Offensichtlich fehlte eine Authentifizierung und sämtliche Tickets mitsamt realen Urkunden des Berliner Personenstandsregisters waren für das gesamte Internet einsehbar. Das ergaben Recherchen von Golem.de.

Das Ticketsystem wurde von Accenture betrieben. Das Unternehmen ist einer der größten IT-Dienstleister für die öffentliche Verwaltung und hat seinen Sitz im hessischen Kronberg im Taunus. Gemeldet hat das Unternehmen Accenture den Vorfall der zuständigen Datenschutzbehörde in Hessen jedoch nicht.

Meldung erst nach Presseanfrage

Nach einer Bitte um Stellungnahme seitens Golem.de meldete Accenture das Datenleck doch bei der Berliner Senatsverwaltung, welche die Informationen an die Landesdatenschutzbehörde weitergab.

Golem Karrierewelt
  1. DP-203 Data Engineering on Microsoft Azure: virtueller Vier-Tage-Workshop
    12.-15.09.2022, virtuell
  2. First Response auf Security Incidents: Ein-Tages-Workshop
    14.11.2022, Virtuell
Weitere IT-Trainings

Die Senatsverwaltung für Inneres gab am 8. Juli 2022 den Verstoß in einer Presserklärung bekannt. Demnach soll die Lücke seit Mai 2022 bestanden haben und erst am 4. Juli 2022 geschlossen worden sein.

Landesamt wusste nichts von der Nutzung

Der Senat nannte Accenture nicht explizit. In der Presseerklärung hieß es nur: "Der Datenschutzverstoß ist auf das vom Unternehmen genutzte technische Supportsystem zurückzuführen." Weiter: "Das [Landesamt für Bürger- und Ordnungsangelegenheiten] LABO nutzt das Ticketsystem seit Anfang des Jahres 2020 nicht mehr und ist davon ausgegangen, dass dort keine personenbezogenen Daten mehr gespeichert sind." Dennoch konnten die Daten ausgelesen werden, wie unsere Recherchen beweisen.

Golem.de liegt eine gespiegelte Version des Ticketsystems vor. Wir fanden Geburts-, Sterbe- und Hochzeitsurkunden von realen Menschen. Anscheinend trugen Angestellte des Unternehmens oder der Verwaltung mitunter gar Ausweiskopien in dem Ticketsystem ein. Warum das Ticketsystem seit Mai 2022 offenstand und warum die Realdaten genutzt wurden, obwohl das LABO darüber nicht in Kenntnis stand, ist nicht bekannt.

Accenture beschwichtigt

Wir baten Accenture erstmalig am 4. Juli 2022 um Stellungsnahmen und erhielten Beschwichtigungen: Das Problem habe nur "in einer isolierten Testumgebung" bestanden und "nur Test- und Übungsdaten" enthalten. Am 6. Juli 2022 nannten wir beispielhaft personenbezogenen Daten aus dem Datensatz. Auf Nachfrage teilte das Unternehmen mit, dass das System "keine Live-Daten enthalten" sollte.

Die anonyme Quelle schickte uns einen Datensatz und eine öffentlich einsehbare Kopie des Ticketsystems. Die Domain, über die das offene Ticketsystem einsehbar war, ist laut Presseanfrage an Denic auf die ungarische Niederlassung von Accenture registriert. Die Denic verwaltet die Top-Level-Domain .de.

Vorfall wirft Fragen auf

Mit dem Ticketsystem wurden Fehler bei der Software für das Personenstandsregister getrackt. Mit diesem Register verwaltet die öffentliche Verwaltung, beispielsweise Standesämter, die Daten von Bürgern.

Wir sprachen mit Markus Drenger. Er ist Experte für E-Government und Open-Data-Aktivist. Drenger sagte Golem.de: "Allein schon der reine Zugriff auf diese Art von Information ist meldepflichtig. Das sind Daten, die bei einem Dienstleister so nicht landen dürfen. Zudem wirft der Vorfall Fragen auf, wie ein solch großes Unternehmen mit personenbezogenen Daten umgeht."

Die Berliner Datenschutzbeauftragte war am Freitagnachmittag nicht für eine Stellungnahme zu dem Datenschutzverstoß zu erreichen. Wir tragen eine Stellungnahme gegebenenfalls nach.

Nachtrag vom 14. Juli 2022, 16:28 Uhr

In einer vorherigen Version dieses Artikels schrieben wir, dass Accenture eine Frist mit Bitte um Stellungnahme zu gefundenen personenbezogenen Daten verstreichen lassen habe. Dies stimmte nicht. Wir haben die entsprechende Stelle korrigiert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Termuellinator 11. Jul 2022 / Themenstart

was daran ist uebertrieben? "In Medikamenten von Beyer wurden toedliche Dosen Quecksilber...

JouMxyzptlk 11. Jul 2022 / Themenstart

Nööö, die gilt ja auch an vielen anderen Stellen wo sie gut Druck macht.

tomatentee 10. Jul 2022 / Themenstart

Nix

tomatentee 09. Jul 2022 / Themenstart

Testdaten macht man in aller Regel SEHR deutlich erkennbar (Max Mustermann, Tessa Test...

Kommentieren



Aktuell auf der Startseite von Golem.de
Videostandards
Wie das Bild auf den Schirm kommt

Was ist der Unterschied zwischen Displayport und HDMI? In einer kleinen Geschichtsstunde erklären wir, wie Bilddaten zum Monitor kommen.
Von Johannes Hiltscher

Videostandards: Wie das Bild auf den Schirm kommt
Artikel
  1. Hybridmagnet: Chinesische Forscher erzeugen Rekord-Magnetfeld
    Hybridmagnet
    Chinesische Forscher erzeugen Rekord-Magnetfeld

    Mit einem Hybridmagneten hat ein Team in China einen Rekord aus den USA für das stärkste stabile Magnetfeld überboten.

  2. Pixel 6: Rollback von Android 13 auf 12 nicht möglich
    Pixel 6
    Rollback von Android 13 auf 12 nicht möglich

    Wer sich Android 13 auf sein Pixel 6 installiert, kann nicht mehr auf die vorige Version zurück. Grund ist ein Bootloader-Update.

  3. Data Mesh: Herr der Daten
    Data Mesh
    Herr der Daten

    Von Datensammelwut und Data Lake zu Pragmatismus und Data Mesh - ein Kulturwandel.
    Von Mario Meir-Huber

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Günstig wie nie: Zotac RTX 3080 12GB 829€, Mac mini 16GB 1.047,26€. WD SSD 2TB (PS5) 199,99€ • MindStar (Sapphire RX 6900XT 939€, G.Skill DDR4-3200 32GB 98€) • PS5 bestellbar • Alternate (Apple iPad günstiger) • Games für PS5/PS4 bis 84% günstiger • Bester 2.000€-Gaming-PC[Werbung]
    •  /