Alle Datenpannen, in denen es um Finanzdaten geht
12.12.2008
Wir wissen, was Sie am 13.August 18:45 Uhr gekauft haben. Und nicht nur das. Die Redakteure der Frankfurter Rundschau können sogar behaupten: „Wir kennen auch die PIN dazu.” Zwei Tage vorm dritten Advent ging bei der Tageszeitung ein Paket ein, welches eine Vielzahl von Microfiches enthielt. Absender: anonym. Die Daten stammen vermutlich von der Firma Atos Worldline, die unter anderem die Abrechnungen für die Berliner Landesbank (LBB) macht. Die wiederum ist Deutschlands größte Kreditkartenausgabestelle und vergibt auch Karten für andere Banken und Institutionen wie Amazon oder den ADAC.
Die unverschlüsselten Microfiches enthalten laut Frankfurter Rundschau Unmengen Transaktionsdaten einzelner Kreditkarten aus dem August 2008, sowie die PINs einiger Karten. Zu den Transaktionsdaten gehören nicht nur Kartennummer und Transaktionsziel, sondern auch Name, Adresse und Kontonummer der Kunden. Die LBB beschwichtigt am darauffolgenden Tag:
In der gestohlenen Datensendung sind keine Geheimnummern (PIN) enthalten, die den Zugriff auf Kreditkartenkonten von Kunden ermöglichen.
Ob die Daten noch anderen Personen oder Institutionen angeboten wurden ist nicht bekannt. Der Berliner Datenschutzbeauftragte, Alexander Dix, äußerte sich erbost darüber, wie mit solch sensiblen Daten umgegangen wird. Nun sind Banken bekannt dafür, dass sie wenig Wert auf die Sicherheit ihrer Kunden legen. In diesem Falle könnte der Schaden aber auch für die Banken beträchtlich sein. In diesem Zusammenhang ist es völlig unverständlich, warum immernoch derart veraltete Speichermedien, die keinerlei Vertraulichkeit sicherstellen, verwendet werden. Es bleibt nur zu hoffen, dass Verschlüsselung Einzug hält, bevor eine andere Zeitung sämtliche EC-Transaktionen der vergangenen 10 Jahre veröffentlichen darf.
Eine Woche später stellte sich heraus, dass die Frankfurter Rundschau das Päckchen angeblich nur durch eine Vertauschung bei einem Kurierdienst erhalten hatte.
Anmerkung (Stand 20.03.2009): Gegen die beiden Kuriere wurde nun Anklage erhoben – wegen Diebstahl, Urkundenfälschung und Verstoß gegen das Postgeheimnis.
Kommentar hinzufügen
06.12.2008
Nach Recherchen der Wirtschaftswoche sind auf dem Schwarzmarkt Bankdaten von etwa 21 Millionen Deutschen im Umlauf. Dem Magazin wurde diese Datenbank für 12 Millionen Euro angeboten. Die Datensätze enthalten Angaben zur Person, Kontonummer, Bankleitzahl und teils sogar Angaben zum Vermögen. Nun ermittelt die Staatsanwaltschaft.
Erste Hinweise deuten darauf hin, dass die Daten aus Callcentern stammen, die im Auftrag großer Unternehmen arbeiten. Diese geben ihre Kundendaten dann an die Callcenter weiter, welche teilweise wieder andere Firmen beauftragen. Dort verlieren sich dann sowohl die Spuren, als auch die Kontrolle über die Kundendaten.
Kommentar hinzufügen
26.11.2008
Eine weitere Panne aus dem Hause Telekom: von mehreren zehntausend Kunden schwirren komplette Profile herum, die neben persönlichen Angaben auch Informationen zu Vertragsdaten und Bankverbindungen umfassen. Die Telekom kann sich die Herkunft noch nicht erklären und stellt selber Strafanzeige. Die Betroffenen berichten bereits von Abbuchungen auf dem Konto, massiver Werbung und gefälschte Aufträge. Es wird wohl ein Rätsel bleiben, wie die Telekom wieder Normalität für die Betroffenen herstellen will.
Kommentar hinzufügen
03.11.2008
Und wieder einmal verursachten britische Behörden eine Datenpanne: ein USB-Stick enthielt Benutzernamen und Kennwörter für ein Computersystem der Regierung. Über diese Plattform konnten Renten- und Kindergeldanträge sowie Steuererklärungen online erledigt werden. Über das Ausmaß der Panne gehen die Ansichten zwischen Behörde und Presse weit auseinander: die Behörde spricht von einer „Handvoll Leute” und die Kennwörter seien verschlüsselt. Die „Mail on Sunday” berichtet dagegen, daß ein Zugang zu den Daten von zwölf Millionen Menschen möglichen gewesen wäre. Auf jeden Fall hat die Regierung erst einmal reagiert und das System vorrübergehend geschlossen.
Kommentar hinzufügen
01.11.2008
Die Österreichische Nationalbank hat mit einem Datenleck zu tun, welches sich immer mehr zu einer Spionageaffäre entpuppt. Auf dem Halbbruder des im Oktober zurückgetretenen Leiter der Bankrevision , Ronald Laszlo, wurden verschiedene Akten der Bank, u.B. ein Prüfbericht gefunden, welche angeblich „vergessen” worden sind.
Eine Folge könnte möglicherweise ein geplatzter Bankverkauf sein. Zu erwähnen sind noch verstrickte Beziehungen und Beteiligungen zwischen den Beteiligten.
Kommentar hinzufügen
18.10.2008
Das zum Axel-Springer-Verlag gehörende Wurfblatt „WBV Wochenblatt” hatte Anfang September 2008 mit einer Datenpanne zu kämpfen: über das Internet waren Namen, Anschrift, Telefonnummern und Kontodaten von Anzeigenkunden abrufbereit gewesen. Davon betroffen waren auch anonyme Chiffre-Anzeigen (z.B. in der Rubrik „Heiraten und Bekanntschaften”). Selbst Google schaffte es bereits, diese Daten zu indizieren.
Kommentar hinzufügen
13.10.2008
Der Wirtschaftsprüfer Deloitte hat einen Laptop verloren, auf dem Rentendaten von 150.000 Eisenbahnmitarbeitern gespeichert waren. Zu den Datensätzen gehörten neben Namen auch Versicherungsnummern, Geburtsdaten und Angaben zum Einkommen. Der Laptop wurde aus der Tasche eines Mitarbeiters gestohlen. In diesem Verlustfall ist auf jeden Fall zu erwähnen, daß das Gerät kennwortgeschützt ist und die Festplatte verschlüsselt war – so ein Sprecher des Unternehmens.
Kommentar hinzufügen
11.10.2008
Die Bankdaten von 30.000.000 Millionen Handy-Kunden waren verhältnismäßig leicht abrufbar und konnten manipuliert werden. Zudem konnten auch SIM-Karten gesperrt, Tarife verändert und neue Einzugsermächtigungen angelegt werden.
Geschützt waren diese Daten lediglich durch ein einfaches Passwort, welches in allen Filialen der Telekom (im Konzernjargon: T-Punkt) genutzt wurde. Durch diesen breiten Nutzerkreis verbreitete sich das Kennwort auch außerhalb des Konzerns.
Betroffen waren bei diesem Datenleck auch Politiker, Prominente sowie Wirtschaftsführer.
Das Datenleck wurde kurz nach Bekanntwerden geschlossen. Künftig wird bei jeder Änderung der Stammdaten eine Zahlenkombination per SMS an die hinterlegte Mobilfunknummer geschickt. Zudem ist durch diese Datenpanne die Öffentlichkeit sensibilisiert worden. Politiker der Grünen forderten eine gesetzliche Meldepflicht sowie die Möglichkeit Schadenersatzansprüche einklagbar zu machen.
Kommentar hinzufügen
10.10.2008
Das britische Verteidigungsministerium hat einen weiteren Datenverlust zu verzeichnen: eine tragbare Festplatte mit persönlichen Daten von ca. 100.000 Armeeangehörigen und weiteren rund 600.000 Armeeanwärtern ist in den Räumen des IT-Dienstleisters EDS verschwunden. Auf dem Datenträger waren Adressen, Passnummern, Geburts- und Führerscheindaten sowie in einigen Fällen auch Telefonnummern und Bankverbindungen.
Kommentar hinzufügen
17.09.2008
In Norwegen ist das Einkommen keine private Information, sondern eine öffentliche Angabe. Dazu gibt es sogar Internetseiten, mit denen man diese Angaben abrufen kann. Es darf also jeder wissen, was sein Nachbar verdient. Oder ein Prominenter. Um das Einkommen der Bandmitglieder von A-Ha zu ermitteln, braucht man lediglich die Namen und kann diese in den Datenbanken recherchieren.
Und so schicken die norwegischen Steuerbehörden Jahr für Jahr vollständige Listen auf CD an die Presse, in der die zuständge Steuerbehörde, das Einkommen und die zu zahlenede Einkommensteuer enthalten sind.
Diese Situation mag vermutlich ungewohnt sein, sie ist aber in Norwegen gängige Praxis – und sicherlich auch so gewollt. In so weit kann man hier noch nicht von einem Datenleck sprechen.
Bei der Versendung der Steuerdaten für 2007 ist dem norwegischen Steueramt allerdings eine Panne passiert: sie verschickten neben diesen Informationen auch die eindeutige Steuernummer – und diese ist widerum in Norwegen heilig. Sie wird zur Identifizierung bei allen norwegischen Behörden sowie Banken, Versicherungen, Unternehmen und Krankenhäusern zur Personenidentifizierung verwendet. Betroffen von dieser Panne sind alle vier Millionen Steuerzahler. Die Datenschutzbehörde warnt vor Identitätsdiebstahl.
1 Kommentar