Eigentlich war es ja schon fast überfällig, nach der Weitergabe von Arztdaten an Pharmafirmen sowie Datenlecks bei der GIS, der TGKK, dem BMI hat es jüngst auch die Sozialversicherung „erwischt“. Wenngleich zwar nicht, wie kolportiert, sensible Daten betroffen sein sollen, „heikle“ Daten waren es allemal (SV-Nr., Kontonummer udgl) und das Vertrauen in unseren Datenschutz wurde wieder einmal tiefgreifend erschüttert (so es überhaupt existent war). Interessant ist dabei vor allem die Reaktion des Hauptverbandes der österreichischen Sozialversicherungsträger: Es läge nämlich weder ein Datenleck noch ein „Hacker-Angriff“ vor, vielmehr hätte ein Mitarbeiter, der keine Berechtigung zur Einsicht der betroffenen Datensätze hatte, die Informationen weitergegeben. Es fragt sich bei dieser Begründung freilich, ob hier jemand den Sinn der Sache nicht verstanden hat! Faktum ist, dass es bei der konkreten Schwachstelle um die „Zentrale Partnerverwaltung“ (ZPV), ein zentrales Stammdatenverzeichnis für Dienstgeber, Versicherte und Leistungserbringer der österreichischen Sozialversicherung, das im Mai 2008 produktiv gesetzt wurde, ging. Das ZPV ist die erste große webbasierte Software-Anwendung der Sozialversicherung, die nach Angaben der Sozialversicherung hochverfügbar und ausfallssicher konzipiert worden sein soll. Zudem sei die Software vertikal und horizontal skalierbar, dh die Datenbank ist auf den Anstieg von Daten und die Vernetzung derselben bestens vorbereitet und damit zukunftssicher. Kling gut, muss aber nicht unbedingt gut sein, weil sich immer mehr der Eindruck verstärkt, dass Effizienz und Performance zulasten von Datensicherheit gehen. Wenn man den Einführungsprozess der ZPV betrachtet, so ging es offenbar tatsächlich alleine um Performance und Skalierung sowie deren Optimierung – Schwachstellenanalysen oder „Penetration Tests“ haben dabei wenig Platz!
