OPM – in der Schweiz oder in Europa kaum bekannt, etabliert sich in den USA diese blasse und bürokratische Behörde gerade zu einem stehenden Begriff für Datenverlust in unbekanntem Ausmass und Missmanagement in der Informatik-Sicherheit, der seinesgleichen sucht. OPM, kurz für Office for Personnel Management, ist sozusagen die HR-Abteilung der Bundesbehörden in den USA.  OPM ist aber nicht nur für durchschnittliche Bürojobs verantwortlich, sondern kümmert sich unter anderem auch um die Background-Checks bei hoch-sensitiven Jobs. Dementsprechend ausführlich sind die erstellten Dossiers.

Ja, manchmal bleibt uns nichts anderes übrig, als auf den Schutz des Allmächtigen zu hoffen. Aber Vertrauen? Woher?

Datenschutz ist was für Warmduscher
Da könnte man ja meinen, da würde mit den Daten besonders vorsichtig umgegangen. Und es würden sicherlich keine Kosten und Mühen gescheut, die Vertraulichkeit der Angestellten und denjenigen, die es werden wollten, zu schützen.

Naja, nicht ganz. Sagen wir mal so: Der Himmel ist blau, das Wasser ist nass und Datenschutz ist nur was für Schattenparkierer … Wäre ich zynisch, würde ich denken, das Motto von OPM sei: Alle fordern ständig Transparenz – wir gehen mit gutem Beispiel voran und speichern die Dossiers transparent in kaum geschützten Datenbanken.

Grossraum Zürich kompromittiert
Im Juni dieses Jahres sickerte durch, dass das ganze Informatik-System kompromittiert und einige der OPM-Datenbanken kopiert wurden. Die Zahl der geleckten Dossiers wirkt auf den ersten Blick recht gross: über 22 Millionen Menschen (je nach Quelle) führen von nun an ein deutlich transparenteres Leben. Setzt man die Zahl in den richtigen Kontext, wirkt sie noch monströser als vorher: Über 22 Millionen Menschen sind mehr als ein Achtel aller Arbeitstätigen in der USA!  Man stelle sich vor, die Lebensläufe und Dossiers von allen Menschen im Grossraum Zürich (ca. 600 000 Menschen) würden von einem Tag auf den anderen unkontrolliert im Internet rumgeistern.

Datensicherheit – keine Frage des Geldes sondern eine Geisteshaltung
Ein vertiefter Blick auf die Geschichte offenbart eine grosse Menge an Fehlern und einen hohen Grad an Ahnungslosigkeit, mit dem operiert wurde. Klar, diese toxische Kombination gibt es öfters. Deswegen ist der Reflex, diese Episode als weiteren Datenverlust abzubuchen, sofort da. Etwas sollte uns aber doch zu denken geben: Es gibt sie wirklich, diese Monsterdatenbanken, in denen wir alle drin stecken und deren Sicherheit nicht gewährleistet wird. Nicht alle Unternehmen und Organisationen haben unser Vertrauen bezüglich Datensicherheit verdient. Und es sind nicht die grossen Unternehmen, die es besser machen: OPM hat ein jährliches Budget von 2 Milliarden US-Dollar und erst Anfang des Jahres Wind davon bekommen, dass da so einiges schief läuft…