Wien/Innsbruck. Einen Tag, nachdem der Österreichableger von Anonymous, AnonAustria, bei der Tiroler Gebietskrankenkasse (TGKK) zugeschlagen und über 600.000 Datensätzen von Versicherten "gestolpert" war, tappte man beim Sozialversicherungsträger am Donnerstag im Dunkeln. "Das Datensystem der Kasse wurde nicht gehackt und es ist nicht am Transferweg passiert", teilte TGKK-Direktor Arno Melitopulos mit.

Sowohl bei der IT der TGKK als auch in Wien bei der ITSV, wo der Knoten der Sozialversicherungsträger liege, sei am Mittwoch ein Krisenstab eingerichtet worden. Die ganze Nacht über seien die Firewalls überprüft worden. "Es muss von einem Dritten sein", meinte Melitopulos und fügte hinzu, dass mit großer Wahrscheinlichkeit im Zuge der Verrechnung oder Abrechnung von Patienten auf das Datenpaket zugegriffen wurde. Nicht enthalten seien dabei Aufzeichnungen über Erkrankungen der TGKK-Versicherten, wurde erneut betont.

Jene Daten, die AnonAustria am späteren Mittwochabend via Twitter veröffentlicht hat - wie etwa alte Daten von Ministerien oder das Strahlenregister -, dürften keine große Brisanz haben, wie sich am Donnerstag herausstellte. "Bei der sofortigen Überprüfung wurde festgestellt, dass die von Anonymous publizierten Datensätze fiktive Beispieldaten aus den Hilfeseiten sind. Diese sind auf der Website öffentlich verfügbar", hieß es aus dem Umweltbundesamt.

Stolpern ist nicht hacken


Im Übrigen dürfte sich Anonymous zumindest bei den jüngsten Fällen nicht strafbar gemacht haben. Hacken ist laut Datenschutzexperte Hans Zeger nur dann strafbar, wenn dabei Sicherungsmaßnahmen wie etwa Passwörter überwunden werden. Über Daten zu "stolpern" sei jedenfalls kein Hacken.

Der Missbrauch persönlicher Daten sei hingegen eine Verwaltungsübertretung oder ein Strafdelikt. Letzteres bedingt, dass man dadurch einen Schaden verursachen oder einen persönlichen Vorteil erzielen wollte. Da die Anonymous-Mitglieder aber damit argumentieren, in "guter Absicht" gehandelt zu haben, um auf Missstände aufmerksam zu machen, würden sie theoretisch mit einer Verwaltungsübertretung davonkommen.

Im aktuellen Fall könnte vielmehr auf die TGKK einiges zukommen: Wegen gröblicher Verletzung von Sicherheitsvorkehrungen drohe laut Zeger eine Verwaltungsstrafe von bis zu 10.000 Euro. Dazu kämen noch zivilrechtliche Ansprüche der Betroffenen, die von der TGKK über den Datenklau informiert werden müssen.