Zürcher Sportamt geht nach Datenleck schlampig vor
Mindestens einen Monat lang waren persönliche Daten zehntausender Zürcher frei im Internet abrufbar – auch weil das zuständige Amt nur sehr langsam reagierte.
Das Wichtigste in Kürze
- Persönliche Daten Zahntausender Zürcher waren über Wochen für Dritte einsehbar.
- Betroffen waren all jene, die ein Sportabo für die Bäder der Stadt besitzen.
- Ein Hacker informierte die Stadt über das Datenleck, doch die liess sich viel Zeit.
Über Wochen sind persönliche Daten von mehreren zehntausend Zürchern offen für Dritte im Internet einsehbar gewesen. Betroffen waren die mehr als 45'000 Menschen, die in der Stadt ein Sportabonnement für die Bäder und Kunsteisbahnen besitzen.
Durch ein Datenleck konnte theoretisch jeder, der ein solches Abo besass, Namen, Adresse und Telefonnummer der anderen Abonnenten einsehen.
Auf die Sicherheitslücke aufmerksam geworden war laut «Tagesanzeiger» ein Softwareentwickler.
Als er im Juni sein Abo erneuern wollte, war ihm das Problem aufgefallen. Er meldete es beim zuständigen Sportamt der Stadt Zürich. Doch eine Reaktion blieb zunächst aus.
Sportamt meldet Sicherheitslücke nicht an Datenschutzbeauftragte
Tatsächlich waren die Daten auch einen Monat später noch immer frei abrufbar. Erst Mitte Juli wurde das Datenleck geschlossen. Nicht nur für den Softwareentwickler, der sich selbst als gutwilliger Hacker bezeichnet, dauerte das viel zu lang.
Auch die Datenschutzbeauftragte der Stadt Zürich wurde auf den Plan gerufen. Über die Schwachstelle informiert wurde sie nämlich nicht.
«Das Sportamt hat damit seine Meldepflicht verletzt», sagte die stellvertretende Datenschutzbeauftragte Patrizia Schwarz dem «Tagesanzeiger». Erst durch den Hacker habe sie von dem Problem erfahren.
Für Tobias Bernhard, der im Sportamt die Abteilung Badeanlagen leitet, bestand keine grosse Gefahr. Die Daten seien nicht sensibel gewesen. Datenschützerin Schwarz sieht das naturgemäss anders. «Alleine wegen der Datenmenge» hätte ihr Behörde zwingend informiert werden müssen.