Alle Datenpannen, in denen es um Persönliche Angaben geht
11.08.2008
Die Verbraucherzentrale Schleswig-Holstein hat ein Datenleck aufgedeckt, in dem eine CD mit personenbezogenen Daten wie Namen, Telefonnummern, Geburtsdaten sowie komplette Kontoverbindungen von 17.000 Verbrauchern im Umlauf ist.
Vorausgegangen sind zahlreiche Beschwerden über unerwünschte Anrufe. Bei der Analyse der Beschwerden stellte sich heraus, daß viele zuvor die Lose der Süddeutschen Klassenlotterie (SKL) per Kontoabbuchung bezahlt hatten. „Die Namen der Exceldateien weisen auf die Süddeutsche Klassenlotterie (SKL) hin”, so die Verbraucherzentrale.
Kommentar hinzufügen
08.08.2008
Und wieder ein weiterer Fall britischer Datenpannen: aus einem Auto wurden neben einem Notebook USB-Sticks entwendet. Auf diesen waren Daten von Kindern enthalten, die sich an einer TV-Kochsendung „Gastronuts” beworben haben. Neben persönlichen Angaben waren Telefonnummern und Urlaubstermine gespeichert.
Kommentar hinzufügen
05.08.2008
Um die „Strapazen” an den amerikanischen Flughäfen für Kunden zu vereinfachen, gibt es Unternehmen, die durch Vorabüberprüfungen Erleichterungen bei den Sicherheitskontrollen anbieten. Einer dieser Anbieter heißt „Verified Identity Pass (VIP)” und bietet seine sogenannte Dienstleistung „Clear” an 17 Flughäfen in den Vereinigten Staaten an.
Nun ist einer der Laptops verloren gegangen, wie die US-Transportation Security Administration (TSA) am 05.08.2008 bestätigte. Auf diesem Gerät befanden sich sensible Daten von 33.000 Personen in unverschlüsselter Form.
Sanktionen gibt es für das Unternehmen in soweit, daß das Unternehmen die betroffenen Passagiere über den Verlust informieren muß und neue Kunden erst dann aufgenommen werden dürfen, wenn die Daten verschlüsselt werden.
Kommentar hinzufügen
04.07.2008
Über eine Sicherheitslücke waren im firmeninternen Netz des Marktforschungsinstituts TNS Infratest/Emnid rund 41000 persönliche Datensätze über 4000 freie Mitarbeiter einsehbar. Um in das System einzudringen war allerdings ein Passwort nötig, so dass die Mitarbeiter nur untereinander ihre Daten einsehen konnten.
Das Passwort war dem Chaos Computer Club zugespielt worden, der die Sicherheitslücke aufdeckte. Das Hamburger Abendblatt berichtete über den Fall:
Konkret konnten Namen, Anschriften, Geburtsdatum, E-Mail-Adressen und Telefonnummern von Mitarbeitern eingesehen werden. Bei vielen Personen seien zudem Monatseinkommen, Kontoverbindungen, Krankenversicherungsdaten und Kreditkarteninformationen zugänglich gewesen.
Nachtrag:
Laut Chaos Computer Club handelte es sich nicht um 4000 freie Mitarbeiter, sondern um 40000 Personen, die sich für das Institut für Umfragen zur Verfügung stellen. Die Daten waren scheinbar doch nicht passwortgeschützt, sondern konnten einfach mit Kenntnis der URL erreicht gewesen. Außerdem sollen die Datensätze sehr detailliert werden (etwa auch eine Auflistung der Haushaltsgeräte im Besitz dieser Personen). Die Presse sei von TNS falsch informiert worden.
Kommentar hinzufügen
23.06.2008
Report München war Kriminellen auf der Spur, die mit falschen Identitäten handeln. Dabei stießen die Redakteure auf ein riesiges Datenleck bei einigen deutschen Meldebehören. Die verwenden zum Großteil eine Software des Herstellers HSH Soft- und Hardware Vertriebs GmbH zur Verwaltung der Melderegister. Standardmäßig ist diese Software mit einem Beispiel-Account ausgestattet, welcher ausgerechnet Root-Rechte (Superuser) hat. Da in vielen Behörden offensichtlich nicht ausreichend Personal mit technischem Know-How zur Verfügung steht wurde die Software nicht korrekt eingerichtet. Der Root-Account blieb bei einigen Behörden erhalten und das Passwort wurde nicht geändert.
Das allein wäre wahrscheinlich schon ein Skandal, da dann Mitarbeiter aus fast allen deutschen Meldebehörden über das Internet Zugriff auf die betroffenen Melderegister hätten. Aber damit nicht genug: Die Firma HSH hatte die Zugangsdaten zu diesem Beispielaccount zu Demonstrationszwecken auf ihrer Internetseite veröffentlicht. Damit war es jedem möglich auf die Melderegister lesend und schreibend zuzugreifen, sowie neue Benutzeraccounts anzulegen. Das Datenleck ist also nicht damit beseitigt, dass die betroffenen Behörden jetzt das Passwort geändert haben, da sich Kriminelle möglicherweise bereits eine Hintertür (also einen anderen Account) eingebaut haben. Zudem ist die Integrität der betroffenen Melderegister nicht mehr gewährleistet.
Peter Schaar, Bundesbeauftragter für den Datenschutz (Interview Report München):
Also, ich denke mal, ganz klar ist, dass überall dort wo diese Software eingesetzt wird, eine Revision der Systeme erforderlich ist. Und man wird dann entscheiden müssen, ob es ausreicht, die Passwörter […] zu ändern, oder ob hier generell noch einmal neu angefangen werden muss mit der Installation solcher Systeme.
Zu den Meldedaten gehören laut Wikipedia :
- Familiennamen, frühere Namen, Vornamen
- Doktorgrad, Ordensnamen/Künstlernamen
- Tag und Ort der Geburt, Geschlecht
- gesetzlicher Vertreter
- Staatsangehörigkeit(en)
- Religionszugehörigkeit
- gegenwärtige und frühere Anschriften
- Familienstand, Ehegatte oder Lebenspartner, Kinder
- Ausstellungsbehörde, Datum und Gültigkeitsdauer des Personalausweises/Passes
- Übermittlungssperren (z.B. bei Gefahr für Leben, Gesundheit oder persönliche Freiheit)
- Sterbetag und -ort
- Tatsache, dass der Betroffene vom Wahlrecht ausgeschlossen ist
- steuerrechtliche Daten
- Passversagungsgründe, Entzug des Ausweises
Kommentar hinzufügen
27.05.2008
Ein Mitarbeiter der Otto-von-Guerike-Universität Magdeburg wollte am Wochenende zu Hause arbeiten und hatte deshalb die Daten von rund 44000 (ehemaligen) Studenten auf einen öffentlichen Server der Universität kopiert. Da er vergessen hatte diese zu löschen waren sie dort 10 Tage lang abrufbar und auch über Google zu finden.
Die Datensätze enthielten Name, Geburtsdatum, Anschrift, Telefonnummer und Herkunft der Studenten. Nach Bekanntwerden wurden die Studenten per E-Mail von dem Vorfall informiert und die Daten sofort vom Server und kurz darauf aus dem Google-Cache gelöscht. Allerdings ist Google nicht der einzige Bot, der Internetseiten archiviert. Fraglich ist außerdem, ob die Daten zuvor bereits von Kriminellen kopiert wurden.
Kommentar hinzufügen
18.05.2008
In der Justizanstalt Graz-Karlau hat ein Gefängniswärter im Jahr 2005 persönliche Daten über 8.500 Häftlinge (das Justizministerium ist der Ansicht, daß es nur 800 waren) entwendet und an zwei Gefangene verkauft. Einer der beiden hat diese Datensammlung direkt an das Ministerium geschickt. Bei den Daten handelt es sich um Namen, Foto, Delikte, Vorstrafen, Namen der Eltern sowie Bekenntnisse zu Religionen.
Als Konsequenz wurde der Wärter entlassen und alle drei Beteiligten angeklagt. Die Betroffenen wurden über die Panne zunächst nicht informiert. Unter einer neuen Regierung sollte dieses Defizit ausgebügelt werden.
Kommentar hinzufügen
15.05.2008
Etwas unfreiwillig berühmt wurde eine Frau aus Mannheim im Mai 2008. Und zwar wurde im Internet ein Mitschnitt eines Notrufs bei der Mannheimer Polizei veröffentlicht. Dieser liegt bereits ein paar Jahre zurück, als sich die Dame wegen Ruhestörung bei der Polizei beschwerte. Ihr sehr starker Mannheimer Dialekt, die Verwendung von Kraftausdrücken sowie Androhung von Gewalt und ein vielleicht etwas zu lockerer Polizist verbreite sich sehr schnell unter den Kollegen und landete letztendlich bei Youtube. Nachdem dieser eine gewisse Popularität erlangt, schalteten sich TV-Sender ein vermarkteten anschließend das ganze Spektakel um eine streitsüchtige Frau.
Was dieser Fall lehrte: Anrufe werden bei der Polizei automatisch mitgeschnitten und nach einer bestimmten Frist ebenso gelöscht. In dem Fall gab es bei der Polizei einen Innentäter, der diesen Mitschnitt auf einem anderen Medium sicherte und anschließend verteilte. Der Beamte, der den Mitschnitt ins Internet stellte, wurde ermittelt – jedoch versicherte er, daß es zu diesem Zeitpunkt kein Dienstgeheimnis mehr war.
Rückblickend betrachtet hätte man in so einem Fall mindestens Namen und Anschriften unkenntlich machen müssen. Aber Mitleid braucht man mit der Frau nicht mehr zu haben: sie ist einen Exklusivpakt mit Sat 1 eingegangen.
Kommentar hinzufügen
07.05.2008
Der Sicherheitsdienstleister Finjan hat im Internet einen Server aufgespürt, auf dem Datendiebe ihr Diebesgut lagern. Dieser sogenannte Command-and-Control-Server enthielt 1,4 GB Daten aus Ländern wie Türkei, Deutschland, USA, Frankreich, Indien, Großbritannien und Spanien. Enthalten sind zum Beispiel Patientendaten, Bankdaten und E-Mail-Konten.
Kommentar hinzufügen
25.04.2008
Ein Angestellter einer spanischen Privatklinik hat Patientendaten über ein Peer-to-Peer Netzwerk unabsichtlich zum Herunterladen angeboten. Er arbeitete auf dem Rechner, auf dem auch die Patientendaten gespeichert waren, mit dem Programm eMule. Der Vorfall wurde von der zuständigen Datenschutzbehörde mit 150000 Euro bestraft.
Soweit dem spanischen Artikel (El Pais) zu entnehmen ist soll es sich unter anderem um die Krankenakten von 4000 Abtreibungspatientinnen handeln.
Kommentar hinzufügen