In österreichischen Unternehmen werden Mitarbeitern Gehaltsabrechnungen oft per E-Mail als PDF-Datei übermittelt. Damit nur die jeweilige Person darauf zugreifen kann, sollten die Dateien passwortgeschützt sein. Laut dem Sicherheitsunternehmen Xsec wird dabei allerdings oft die Sozialversicherungsnummer verwendet. Und die lässt sich einfach knacken.

Sozialversicherungsnummern knackbar

Die Sozialversicherungsnummer besteht aus einer Laufnummer, einer Prüfziffer und dem Geburtsdatum. In einem Blogeintrag demonstriert das Unternehmen, wie rasch diese Nummer geknackt werden kann. Würde man alle österreichischen Sozialversicherungsnummern für 14- bis 65-Jährige, die zwischen 1952 und 2003 geboren wurden, berechnen, käme man auf etwa 16 Millionen gültige Nummern. Genau das hat Xsec mit einer selbst geschriebenen Software getan.

Der Proof of Concept zeige, dass sich die Nummern innerhalb weniger Sekunden knacken lassen. Erhalten Unbefugte Zugriff auf die Gehaltsabrechnung, können sie private, personenbezogene Daten wie Gehaltsdaten, Adressen oder auch gerichtliche Lohnpfändungen einsehen.

Datenschutzgrundverordnung

Aber auch das Auslesen der Sozialversicherungsnummer selbst sei mit Blick auf die neue Datenschutzgrundverordnung schon problematisch, so Xsec. Diese tritt am 25. Mai in Kraft und sieht empfindliche Strafen für Unternehmen vor, die dagegen verstoßen. Das Strafmaß kann eine Höhe von bis zu 20 Millionen Euro oder vier Persones der weltweit erzielten Jahresumsätze erreichen. "Gerade die Verwendung der Sozialversicherungsnummer als Passwort wird aus unserer Sicht sehr kritisch gesehen. Die Sozialversicherungsnummer stellt ohne Zweifel eine personenbezogene Information im Sinne des § 4 Z 1 DSG 2000 dar, an dem ein schutzwürdiges Geheimhaltungsinteresse besteht", schreibt das Unternehmen im Blogeintrag.

Laut dem Sozialversicherungsgesetz darf die Nummer "zur Verwaltung personenbezogener Daten im Rahmen der Sozialversicherung gesetzlich übertragenen Aufgaben" verwendet werden. Sie als Passwort einzusetzen gehöre da nicht dazu. Unternehmen sollten diese Praxis daher auf Anraten der Sicherheitsexperten rasch ändern. (red, 8.2.2018)