Alle Datenpannen, in denen es um Personaldaten geht
24.09.2010
Die Firma ACS:Law ist eine große britische Abmahnkanzlei. Für umgerechnet rund 500 Euro pro Fall versendet sie Glückwunschkarten mit Zahlungsaufforderung an Personen, die illegal urheberrechtlich geschützte Daten aus dem Internet heruntergeladen haben. ACS:Law hat sich besonders auf Erotikfilme spezialisiert.
Als herzliches Dankeschön für deren Tätigkeit, hatten sich zahlreiche Nutzer zusammengeschlossen und gleichzeitig die Internetseite von ACS:Law besucht. Als einige Tage nach diesem DDoS-Angriff ein Backup eingespielt wurde, bekamen die Besucher nicht die Webseite, sondern das Wurzelverzeichnis des Servers zu sehen. Auf dem Server befand sich auch eine Backup-Datei mit rund 1000 E-Mails und diese fanden sich wiederum kurze Zeit später beim Torrent-Seed The Pirate Bay.
Die E-Mails enthalten neben Informationen über die Arbeitspraktiken der Anwaltskanzlei sowie Informationen über deren Mitarbeiter und Klienten auch persönliche Daten von mehreren Tausend Personen, die wegen illegaler Porno-Downloads abgemahnt wurden. Die Zahlen der Betroffenen variieren in den einzelnen Presseberichten. Der Guardian spricht von 8000 Kunden des Anbieters Sky Broadband, 500 BT-Kunden (British Telecom), 400 Plusnet-Kunden und 5000 anderen Bürgern.
Die Listen enthalten neben den Namen und Adressen der Abgemahnten auch deren IP-Adresse, Kreditkartennummer und die Namen der heruntergeladenen Pornofilme. Die Zusammenstellung der Daten eignet sich damit optimal für Identitätsdiebstahl, Kreditkartenbetrug und Erpressung. Der Kanzlei droht nun möglicherweise eine Strafe von 500.000 Pfund durch die Datenschutzbehörde.
Auch den Providern droht möglicherweise eine Strafe, da sie die E-Mails an die Kanzlei nicht verschlüsselt hatten. Sky Broadband, British Telecom, O2 und einige andere Anbieter haben angekündigt, vorerst nicht mehr mit ACS:Law zusammenzuarbeiten.
Kommentar hinzufügen
06.09.2010
„This incident shows yet again why data on USB drives must always be encrypted,” schreibt The Register. Der aktuelle Fall dreht sich um einen USB-Stick der Greater Manchester Police, welchen ein Bürger auf der Straße in der Nähe eines Polizeireviers im Städtchen Stalybridge fand.
Eine Analyse auf dem heimischen PC ergab, dass sich auf dem Datenträger Material für Anti-Terror-Trainings und Personalakten befanden – natürlich unverschlüsselt.
Kommentar hinzufügen
10.07.2010
Wie das Blog Hackerinfo berichtet sind Server der Firma Penny-Markt GmbH frei aus dem Internet erreichbar. Neben Informationen zu Geschäftsabläufen und Planungen sowie Daten zur gesamten IT-Infrastruktur des Unternehmens, fand sich auch eine Liste mit Mitarbeiternamen und deren E-Mail-Adressen. Nach Informationen der REWE-Group, zu welcher Penny gehört, handelt es sich bei dem Server um eine unerlaubte Kopie eines ehemaligen Mitarbeiters in Bulgarien. Solche Vorfälle könnten in einem so großen Unternehmen niemals ausgeschlossen werden.
Kommentar hinzufügen
10.05.2010
Immer wieder gelangen Kriminelle mühelos an sensible Daten, weil Datenträger unachtsam entsorgt werden. Zumindest einige der ausgedienten Festplatten des Traunsteiner Finanzamtes kaufte zum Glück ein ehrlicher Bauunternehmer. Nach dessen Angaben war sofort nach dem Einbau von zwei Festplatten zu erkennen, dass diese zuvor der Behörde gehörten. Dort hatte man sich offenbar nicht einmal die Mühe gemacht, die Festplatten auf herkömmliche Weise zu löschen, geschweige denn die Daten sicher zu entfernen.
Nachdem der Käufer die beiden Festplatten der Polizei übergeben hatte, besorgte er auf dem gleichen Flohmarkt neue. Auch diese enthielten wieder Daten des Finanzamtes in Traunstein. Da die Behörden verpflichtet sind, solche Daten zu vernichten, ermittelt nun die Polizei.
Auf den Festplatten befanden sich Listen von Steuersündern, Unterlagen über Steuerstrafverfahren, Vollstreckungsbescheide, Übersichten über Steuerbescheide, eine Übersicht über Steuersünder, Unterlagen über die Einnahmen eines Finanzamtes, ein Verzeichnis über die Käufer von rund 500 Waffen, sowie Angaben zu Fehlzeiten von Mitarbeitern und zu einem Disziplinarverfahren.
Kommentar hinzufügen
06.05.2010
Nur eine Woche, nachdem die britische Datenschutzbehörde den National Health Service (NHS) zum schlechtesten Missetäter, bezüglich Datenpannen, gekürt hatte, zeigt dieser erneut, dass daraus keine Lehren gezogen wurden. Die NHS ist für knapp ein Drittel aller staatlichen Datenpannen, im Königreich in den lezten zwei Jahren, verantwortlich. Nun wurde vor einem schottischen Supermarkt ein USB-Stick gefunden, welcher Patientendaten von einer Klinik im Gebiet um Falkirk enthielt.
Bei der Klinik handelt es sich um eine Einrichtung für Patienten mit geistigen Problemen. Es ist nicht bekannt, welche Daten sich genau auf dem Stick befanden. ITPro berichtet, dass es sich auch um Angaben zu von diesen Personen begangene Straftaten und Personaldaten gehandelt haben soll.
Der USB-Stick war weder verschlüsselt, noch anderweitig geschützt.
Kommentar hinzufügen
16.02.2010
Der Mineralölkonzern Shell verzeichnete den Verlust von Daten zu 176.000 Mitarbeitern und Lieferanten. Diese befanden sich in einer gestohlenen Adressliste und wurde per E-Mail versendet, scheinbar bevorzugt an Lobbyisten und Aktivierten mit kritischer Einstellung zu Shell.
Kommentar hinzufügen
08.02.2010
Nach Angaben des Norddeutschen Rundfunks sind dem Finanzdienstleister AWD wieder 12.000 Personendatensätzen entwendet worden. Zu den Angaben dieses Mal gehören persönliche Angaben, Rufnummern, Berufsbezeichnungen sowie Details aus abgeschlossenen Versicherungsverträgen. Zu mehreren hundert Kunden liegt auch die Kontoverbindung. Ergänzend sind einige Angaben zu ehemaligen und aktiven Mitarbeitern aufgetaucht.
Kommentar hinzufügen
19.11.2009
Der us-amerikanische Krankenversicherer Health Net hat bereits im Mai eine tragbare Festplatte mit zahlreichen Kundendaten verloren – wie so oft unverschlüsselt.
Die Datenbank enthielt Sozalversicherungsnummern, Bankverbindungen und medizinische Daten von 1,5 Millionen Patienten. Außerdem waren persönliche Daten von etwa 5.000 Ärzten enthalten.
Der Fall wurde erst jetzt öffentlich, da die Versicherungsgesellschaft sechs Monate benötigte um herauszufinden, was für Daten sich vermutlich auf der Platte befanden. Außerdem wurde das Sicherheitsrisiko heruntergespielt, indem behauptet wurde, dass die Daten mit einem speziellen Verfahren komprimiert seien, für das nur Health Net die entsprechende Dekomprimierungssoftware hätte.
Kommentar hinzufügen
29.10.2009
Ein Steuerprüfer des Münchener Finanzamts veröffentlichte versehentlich die Gehaltsabrechnungen von 39 Aufsichtsratsmitgliedern der Münchener Stadtwerke.
Der Prüfer beabsichtigte einige Dokumente per E-Mail zu versenden. Durch ein Missgeschick ging die Mail allerdings nicht an seine Kollegen, sondern an einen firmeninternen Verteiler der Stadtwerke. Die Abrechungen wurden dadurch einem großen Teil der Mitarbeiter der Stadtwerke zugänglich.
Die Steuerbehörde hat sich inzwischen für die unbeabsichtigte Transparenz entschuldigt.
Kommentar hinzufügen
27.10.2009
Kriminelle konnten in die Online-Stellenbörse der britischen Tageszeitung „The Guardian” eindringen und hatten somit potentiellen Zugriff ca. eine halbe Million Datensätze von Bewerbern gehabt, inklusive Lebensläufe. Die betroffenen Anwender wurden per E-Mail informiert. Die amerikanische Seite des Guardians ist allerdings nicht betroffen.
Die Lücke soll bereits geschlossen werden, allerdings schweigt die Zeitung, wie die Eindringlinge in das System eingedrungen worden sind.
Kommentar hinzufügen