Aktualisiert 17.09.2007 14:59

Jobs.ch: Freie Sicht auf alle Daten

Die grösste Online-Stellenbörse der Schweiz weist ein massives Sicherheitsleck auf. Private Daten der Stellensuchenden können von jedermann problemlos eingesehen werden.

«Ich bin schockiert, das ist der Wahnsinn», sagt S. Z. (Name der Redaktion bekannt) entrüstet gegenüber 20minuten.ch. Was ist geschehen? Wie zigtausend andere Arbeitssuchende vertraute sie auf der Suche nach einer neuen Stelle persönliche Daten wie Name, Adresse, AHV-Nummer und ihr Stellenprofil jobs.ch, der grössten Online-Stellenbörse der Schweiz, an. Wenige Klicks von 20minuten.ch genügen, um an das Stellenprofil von S.Z. zu gelangen. So hat sich die HR-Managerin als «Senior HR Business Partner for Pharma Partnering» bei der Roche in Basel beworben oder als «Leitung Fachbereich Personalhonorierung» bei der Kantonalen Verwaltung in Basel-Landschaft.

Einseh- und manipulierbar

«Für sämtliche uns anvertraute persönliche Daten garantieren wir eine vertrauensvolle Behandlung, und wir versichern Ihnen, dass wir diese Daten mit grösster Sorgfalt erheben, streng vertraulich behandeln sowie zweckbestimmt damit umgehen», versichert jobs.ch in den Erklärungen zum Datenschutz. Von «streng vertraulich» kann aber keine Rede sein: Die Daten sind völlig unzureichend geschützt und nicht nur für jedermann einseh-, sondern auch manipulierbar.

Betroffene sind stinksauer

Innerhalb von wenigen Minuten hat der Test von 20minuten.ch die persönlichen Daten und Suchprofile von mehr als zehn Arbeitssuchenden zu Tage gefördert. S.Z. ist stinksauer: «Dass Fremde auf meine Koordinaten und offenen Bewerbungen zugreifen können, ist unfassbar.» Ein professioneller Stellenvermittler hatte für sie das Profil eingerichtet. «Das muss in Ordnung gebracht werden, ich werde sofort die Agentur anrufen», sagt S.Z. erzürnt.

Auch C.M. aus dem Kanton Aargau ist verunsichert. Er sucht eine Anstellung als PR-Manager oder als Redaktor im Raum Deutschschweiz. Zwei Pendenzen sind noch offen: als Produzent bei der Tamedia und als Redaktor beim Coop-Magazin. (Stand 17.09.07). Angesprochen auf das Datenleck reagiert C.M. hörbar verwirrt: «Das ist interessant», sagt er mit leiser Stimme und ergänzt: «Ich werde mich sofort bei den Verantwortlichen beschweren, mehr möchte ich dazu momentan nicht sagen.»

Auch beim RAV gemeldete Arbeitslose betroffen

Brisantes Detail: Die Stellenbörse ist mit den regionalen Arbeitsvermittlungsstellen (RAV) verbunden. Das RAV stellt angemeldeten Arbeitslosen einen Account bei offene.jobs.ch zur Verfügung. Wer es selber berappen muss, zahlt für den Zugriff auf sämtliche Jobangebote 19 Franken pro Monat. Um den Datenschutz zu gewährleisten wurde mit dem Staatssekretariat für Wirtschaft (seco) ein Rahmenvertrag geschlossen. Nützen tut dies aber offensichtlich nichts, denn auch die Daten der vom RAV eröffneten Konten sind problemlos einsehbar.

Datenklau leicht gemacht

Das Ausspionieren der Daten funktioniert denkbar simpel. Es genügt, die richtige Suchanfrage bei Google einzugeben, und schon stösst man auf das Profil eines Arbeitssuchenden. In der URL muss jeweils nur noch die Nummer der BenutzerID geändert werden und auf dem Bildschirm erscheinen die Kontodaten aller hinterlegten Profile.

jobs.ch reagiert umgehend

20minuten.ch konfrontierte Mark Sandmeier, Geschäftsführer der jobs.ch AG, mit dem Sicherheitsleck. Er reagierte perplex und schickte folgende Stellungsnahme: «Wir haben kürzlich ein umfangreiches IT-Security-Assessment durch ein spezialisiertes Unternehmen durchführen lassen und sämtliche Empfehlungen umgesetzt. Die auf Google ersichtliche URL kann nicht auf Grund der normalen Indexierung in den Suchindex von Google gelangt sein.» Nachdem ihn 20minuten.ch auf das Problem aufmerksam gemacht hatte, reagierte Sandmeier prompt mit Sofortmassnahmen: «Diese URL ist nicht mehr abrufbar.» Weitere Massnahmen betreffend der Sicherheit der User-Daten würden sofort umgesetzt. Für allfällige Unannehmlichkeiten bittet der Betreiber von jobs.ch um Entschuldigung.

Manuel Bühlmann, 20minuten.ch

Haben auch Sie ein Konto auf der grössten Online-Stellenbörse der Schweiz eingerichtet? Mailen Sie uns Ihre Meinung an feedback@20minuten.ch

Deine Meinung

Fehler gefunden?Jetzt melden.