Sprung zum Inhalt / Skip to main content

die chronik der datenpannen

Alle Datenpannen aus Deutschland

Weihnachtliche Lust?

31.08.2008

Das Flensburger Erotikunternehmen Beate Uhse betrieb in den vergangenen Jahren einen Online-Adventskalender. Dabei können Kunden an einem Gewinnspiel teilnehmen und erhalten dann Zugang zu freizügigen Videos. Bei jedem Zugriff wird das Datum, die Zeit sowie eine E-Mail-Adresse protokolliert, letzteres vermutlich im Kontext des Newsletter-Versandes.

Diese Logdateien waren ungeschützt und konnten über das Internet aufgerufen werden. Dazu mußte man lediglich durch die Verzeichnisse navigieren. Eins dieser Verzeichnisse ist sogar in den Index der Suchmaschine Google gelandet. Das heißt: wer beispielsweise zufällig nach der E-Mail-Adresse eines Seitenbesuchers gesucht hat, hätte mitunter diesen Treffen bekommen. Bestellungen oder Adressen der Kunden waren zu keiner Zeit einsehbar.

Die Lücke wurde innerhalb weniger Tage nach Bekanntwerden geschlossen. Die offizielle Erklärung von Beate Uhse lautet, daß es beim Upgrade des Shop-Systems einen Fehler gegeben haben soll.

Kommentar hinzufügen

Kontoverbindungen von SKL-Kunden

11.08.2008

Die Verbraucherzentrale Schleswig-Holstein hat ein Datenleck aufgedeckt, in dem eine CD mit personenbezogenen Daten wie Namen, Telefonnummern, Geburtsdaten sowie komplette Kontoverbindungen von 17.000 Verbrauchern im Umlauf ist.

Vorausgegangen sind zahlreiche Beschwerden über unerwünschte Anrufe. Bei der Analyse der Beschwerden stellte sich heraus, daß viele zuvor die Lose der Süddeutschen Klassenlotterie (SKL) per Kontoabbuchung bezahlt hatten. „Die Namen der Exceldateien weisen auf die Süddeutsche Klassenlotterie (SKL) hin”, so die Verbraucherzentrale.

Kommentar hinzufügen

Personaldaten für alle Mitarbeiter zugäglich

04.07.2008

Über eine Sicherheitslücke waren im firmeninternen Netz des Marktforschungsinstituts TNS Infratest/Emnid rund 41000 persönliche Datensätze über 4000 freie Mitarbeiter einsehbar. Um in das System einzudringen war allerdings ein Passwort nötig, so dass die Mitarbeiter nur untereinander ihre Daten einsehen konnten.

Das Passwort war dem Chaos Computer Club zugespielt worden, der die Sicherheitslücke aufdeckte. Das Hamburger Abendblatt berichtete über den Fall:

Konkret konnten Namen, Anschriften, Geburtsdatum, E-Mail-Adressen und Telefonnummern von Mitarbeitern eingesehen werden. Bei vielen Personen seien zudem Monatseinkommen, Kontoverbindungen, Krankenversicherungsdaten und Kreditkarteninformationen zugänglich gewesen.

Nachtrag:
Laut Chaos Computer Club handelte es sich nicht um 4000 freie Mitarbeiter, sondern um 40000 Personen, die sich für das Institut für Umfragen zur Verfügung stellen. Die Daten waren scheinbar doch nicht passwortgeschützt, sondern konnten einfach mit Kenntnis der URL erreicht gewesen. Außerdem sollen die Datensätze sehr detailliert werden (etwa auch eine Auflistung der Haushaltsgeräte im Besitz dieser Personen). Die Presse sei von TNS falsch informiert worden.

Kommentar hinzufügen

Offene Melderegister: Eine Einladung für Identitäsklau

23.06.2008

Report München war Kriminellen auf der Spur, die mit falschen Identitäten handeln. Dabei stießen die Redakteure auf ein riesiges Datenleck bei einigen deutschen Meldebehören. Die verwenden zum Großteil eine Software des Herstellers HSH Soft- und Hardware Vertriebs GmbH zur Verwaltung der Melderegister. Standardmäßig ist diese Software mit einem Beispiel-Account ausgestattet, welcher ausgerechnet Root-Rechte (Superuser) hat. Da in vielen Behörden offensichtlich nicht ausreichend Personal mit technischem Know-How zur Verfügung steht wurde die Software nicht korrekt eingerichtet. Der Root-Account blieb bei einigen Behörden erhalten und das Passwort wurde nicht geändert.

Das allein wäre wahrscheinlich schon ein Skandal, da dann Mitarbeiter aus fast allen deutschen Meldebehörden über das Internet Zugriff auf die betroffenen Melderegister hätten. Aber damit nicht genug: Die Firma HSH hatte die Zugangsdaten zu diesem Beispielaccount zu Demonstrationszwecken auf ihrer Internetseite veröffentlicht. Damit war es jedem möglich auf die Melderegister lesend und schreibend zuzugreifen, sowie neue Benutzeraccounts anzulegen. Das Datenleck ist also nicht damit beseitigt, dass die betroffenen Behörden jetzt das Passwort geändert haben, da sich Kriminelle möglicherweise bereits eine Hintertür (also einen anderen Account) eingebaut haben. Zudem ist die Integrität der betroffenen Melderegister nicht mehr gewährleistet.

Peter Schaar, Bundesbeauftragter für den Datenschutz (Interview Report München):

Also, ich denke mal, ganz klar ist, dass überall dort wo diese Software eingesetzt wird, eine Revision der Systeme erforderlich ist. Und man wird dann entscheiden müssen, ob es ausreicht, die Passwörter [...] zu ändern, oder ob hier generell noch einmal neu angefangen werden muss mit der Installation solcher Systeme.

Zu den Meldedaten gehören laut Wikipedia :

Kommentar hinzufügen

Uni Magdeburg: Studentendaten online

27.05.2008

Ein Mitarbeiter der Otto-von-Guerike-Universität Magdeburg wollte am Wochenende zu Hause arbeiten und hatte deshalb die Daten von rund 44000 (ehemaligen) Studenten auf einen öffentlichen Server der Universität kopiert. Da er vergessen hatte diese zu löschen waren sie dort 10 Tage lang abrufbar und auch über Google zu finden.

Die Datensätze enthielten Name, Geburtsdatum, Anschrift, Telefonnummer und Herkunft der Studenten. Nach Bekanntwerden wurden die Studenten per E-Mail von dem Vorfall informiert und die Daten sofort vom Server und kurz darauf aus dem Google-Cache gelöscht. Allerdings ist Google nicht der einzige Bot, der Internetseiten archiviert. Fraglich ist außerdem, ob die Daten zuvor bereits von Kriminellen kopiert wurden.

Kommentar hinzufügen

Notruf bei Youtube veröffentlicht

15.05.2008

Etwas unfreiwillig berühmt wurde eine Frau aus Mannheim im Mai 2008. Und zwar wurde im Internet ein Mitschnitt eines Notrufs bei der Mannheimer Polizei veröffentlicht. Dieser liegt bereits ein paar Jahre zurück, als sich die Dame wegen Ruhestörung bei der Polizei beschwerte. Ihr sehr starker Mannheimer Dialekt, die Verwendung von Kraftausdrücken sowie Androhung von Gewalt und ein vielleicht etwas zu lockerer Polizist verbreite sich sehr schnell unter den Kollegen und landete letztendlich bei Youtube. Nachdem dieser eine gewisse Popularität erlangt, schalteten sich TV-Sender ein vermarkteten anschließend das ganze Spektakel um eine streitsüchtige Frau.

Was dieser Fall lehrte: Anrufe werden bei der Polizei automatisch mitgeschnitten und nach einer bestimmten Frist ebenso gelöscht. In dem Fall gab es bei der Polizei einen Innentäter, der diesen Mitschnitt auf einem anderen Medium sicherte und anschließend verteilte. Der Beamte, der den Mitschnitt ins Internet stellte, wurde ermittelt – jedoch versicherte er, daß es zu diesem Zeitpunkt kein Dienstgeheimnis mehr war.

Rückblickend betrachtet hätte man in so einem Fall mindestens Namen und Anschriften unkenntlich machen müssen. Aber Mitleid braucht man mit der Frau nicht mehr zu haben: sie ist einen Exklusivpakt mit Sat 1 eingegangen.

Kommentar hinzufügen

Bilanz: Verluste von Speichermedien beim Bund

16.04.2008

Auf eine Kleine Anfrage von Abgeordneten der FDP-Fraktion im Bundestag zu Computerverlusten bei Bundesbehörden antwortete die Bundesregierung:

Eine zentrale Statistik der Computer- und Datenträgerverluste der Bundesbehörden wird nicht geführt. Soweit in der Kürze der Zeit ermittelbar, sind in den Jahren 2005 bis 2007 in deutschen Bundesbehörden rd. 189 stationäre Personalcomputer, rd. 326 tragbare Computer (Notebooks), rd. 38 Memorysticks, CDs und DVDs sowie rd. 271 Mobilfunktelefone und Taschencomputer (Handheld-Organizer) gestohlen worden, abhanden gekommen bzw. unauffindbar. [...] Bei rd. 60 Prozent der in Absatz 1 genannten Fälle (ohne Mobilfunktelefone und Taschencomputer) wurden Disziplinarermittlungen durchgeführt und/oder strafrechtliche Ermittlungen aufgenommen.

Bei den verlorengegangenen Daten handelte es sich laut Bundesregierung meist um öffentliche Daten.

Ein gestohlener Laptop des Bundesamtes für den Zivildienst enthielt auf der verschlüsselten Festplatte bis zu 1200
Adressdaten von Zivildienstleistenden einer Betreuungsregion. In einem weiteren Fall befanden sich auf einem USB-Stick des Statistischen Bundesamtes anonymisierte Veranlagungsdaten der Einkommenssteuer von 2001. In 5 Fällen enthielten Datenträger des Bundesministeriums der Verteidigung Informationen der Einstufung VS-VERTRAULICH und höher. In diesem Zusammenhang wird derzeit ermittelt. In wenigstens einem Fall waren auch personenbezogene Informationen betroffen.

Der Wert der gestohlenen Geräte wurde mit insgesamt rund 540000 Euro beziffert. Der Sprecher des Bundesdatenschutzbeauftragten sagte der Bild-Zeitung:

Die Vorfälle zeigen, wie wichtig eine Meldepflicht für solche Datenverluste ist, damit wir ermitteln können.

Kommentar hinzufügen

BND kauft Bankdaten von LGT-Mitarbeiter

14.03.2008

Der Bundesnachrichtendienst hat Bankdaten von einem ehemaligen Mitarbeiter der Liechtenstein Global Trust Treuhand gekauft. Der Mitarbeiter hatte die Daten erlangt, als er mit der Digitalisierung des Archivs beauftragt wurde. Die Daten geben Auskunft über Steuersünder und machten vorallem in Deutschland Schlagzeilen.

Nachtrag, 08.02.2010: Die Bank muss den betroffenen Kunden nun möglicherweise eine Entschädigung in Millionenhöhe zahlen, weil sie nicht rechtzeitig über die Datenpanne informiert hat.

Kommentar hinzufügen

Objektschutzdaten landen im Presseverteiler

13.11.2007

Der Darmstädter Polizei ist ein Malheur passiert: Ein Beamter versandte die Objekt- und Personenschutzdaten über den Presseverteiler. So wurde unter anderem bekannt, wann Polizeistreifen nachts die Wohnung von Bundesministerin Zypries kontrollieren.

Kommentar hinzufügen

Rechte jagen Linke - mit Polizeifotos

08.10.2007

Rechtsextremisten machen im Raum Dresden mit Hilfe einer „Anti-Antifa-Akte” Jagd auf die Neonazigegner. Brisant ist, dass die Akte auch Fotos und Videomaterial der sächsischen Polizei enthält. So sollen die Rechtsextremisten im Besitz von 37 Fotos und 9 Videos aus Akten des LKA sein, welche hauptsächlich Linke zeigen. Die Akte enthält auch Namen, Adressen und Geburtsdaten. Ob die allerdings auch aus Ermittlungsakten der Polizei stammen ist unklar.

Unklar ist auch, wie die Neonazis an die Unterlagen kamen. Möglicherweise gibt es einen Spitzel oder es wurden gezielt Strafanzeigen gegen Linke gestellt und dann Akteneinsicht beantragt.

Kommentar hinzufügen

1 2 3 … 27 28 29 30