Alle Datenpannen aus Deutschland
25.05.2009
Everflux beschreibt in seinem Blog, wie es ihm gelang (mehr oder weniger aus Versehen) in das Redaktionssystem der Lufthansa einzudringen. Ob sich darüber allerdings nur herausfinden ließ, welche Filme auf welchen Flügen gezeigt werden oder ob auch persönliche Daten abrufbar waren ist nicht bekannt. Vermutlich war es aber möglich sich als vollwertiger Mitarbeiter im System zu registrieren und dieses aktiv zu nutzen.
Die Geschichte zeigt aber mal wieder, wieviel Aufwand (Anrufe, E-Mails) mit unter nötig ist um Mitarbeiter für ein Datenleck zu sensibilisieren.
Kommentar hinzufügen
20.05.2009
Bei der HSH Nordbank scheint man die Empfänger von E-Mails mit sensiblen Daten nicht ausreichend zu identifizieren. So hat ein Fotograf seit einigen Monaten regelmäßig E-Mails mit sensiblen Daten von Bankkunden mit Namen und Guthaben der Kunden erhalten. Ursprünglicher Empfänger ist sie Deutsche Wertpapierservice-Bank gewesen.
Dem Artikel bei rponline zu urteilen, setzt sich die HSH Nordbank mit der Panne auseinander und geht von menschliches Versehen aus.
Trotzdem läßt die Panne gewisse Fragen offen:
- zum einem, warum der eigentliche Empfänger keine E-Mails vermißt hat
- zum anderen, warum diese Daten nicht hinreichend verschlüsselt worden sind, dann wäre es zwar nur eine Panne, aber kein Leck.
Sachdienliche Hinweise, ob die HSH Nordbank geschludert hat oder ob das eigentliche Leck nicht dieser Nachrichtenversand sondern in den inneren Reihen der Bank sitzt, sind Willkommen!
1 Kommentar
05.05.2009
In einem Papiercontainer vor dem Landgericht Langenfeld wurden am 4.5. Gerichtsakten entdeckt, die noch zum Teil vertraulich waren. Es handelte sich hierbei um mehrere kleinere Rechtsstreitigkeiten mit Streitwerten um die 1.000 Euro, deren Urteile erst in den darauffolgenden Tagen verkündet werden sollen.
Wie die Akten dahin gelangt sind, ist noch ungewiß, sowohl der Düsseldorfer Anwaltsverein als auch der Datenschutzbeauftragte für NRW äußerten ihre Kritik.
Kommentar hinzufügen
15.04.2009
Der Posten des Kulturbürgermeisters der Messestadt ist neu zu besetzen. Deshalb hatte die Stadt Leipzig Interessenten zu einer Bewerbung aufgefordert. Die Namen der 48 Bewerber waren nun im Internet veröffentlicht wurden. Allerdings müssen solche Bewerbungen vertaulich behandelt werden. – „Warum?“, könnte man sich fragen. Schließlich geht es um ein politisches Amt und da kann der Bürger eigentlich etwas Transparenz erwarten. Allerdings ist das hier ein Grenzfall, da es sich bei den Bewerbern nicht um Berufspolitiker handelt. Insbesondere die unterlegenen Kandidaten könnten bei einer Veröffentlichung in ihrem Berufsleben benachteiligt sein.
Kommentar hinzufügen
04.04.2009
Beim Entsorgen von Papiermüll hatte eine Bochumerin Akten mit dem Symbol des Discounters Lidl entdeckt. Es handelte sich dabei nicht nur um Listen mit den Einnahmen einzelner Filialen, sondern auch um einige Krankenakten.
Dadurch wurde öffentlich, dass die Vertriebsleitern einer Region über alle Mitarbeiter Krankenakten anlegen mussten, um zu dokumentieren, ob diese tatsächlich krank sind oder nur „blau machen“. Die Akten aus dem Altpapiercontainer dokumentierten unter anderem Schwangerschaften, künstliche Befruchtungen und Besuche beim Psychologen. Bereits einige Monate zuvor war bekannt geworden, dass Lidl seine Mitarbeiter duch Detekteien bespitzeln lässt. Das Unternehmen aus Neckarsulm hatte bereits 2004 für seinen Umgang mit Mitarbeitern den Negativpreis BigBrotherAward erhalten.
Kommentar hinzufügen
30.03.2009
Die Abwrackprämie hatte schon im Januar das Potential, zum Unwort des Jahres erklärt zu werden. Nun überschattet das Ganze auch noch die Folgen einer übereifrigen Umstellung des Beantragungsverfahren. Anstelle von Papierformularen wird die Subventionierung muß nun online getätigt werden. Und diese Umstellung erfolgt nicht reibungsfrei: durch massive Performanceprobleme gibt es ebenso eine Datenpanne.
Dabei erhalten Antragsteller eine E-Mail zur Bestätigung, an der ein PDF-Dokument angehangen ist. Jedoch in mehreren Fällen handelt es sich um die Bestätigung einer anderen Person. Zu den angegeben Daten gehören Wohn- und E-Mailadresse sowie Angaben zum Fahrzeug (Typ, Fahrgestellnummer sowie Typ und Schadstoffklasse des Neuwagens). Betroffen von der Panne sind ca. 200 Antragsteller.
Anzumerken sei noch, daß die Beantragung unverschlüsselt (ohne HTTPS) erfolgt.
Kommentar hinzufügen
28.03.2009
Kabel Deutschland wollte Kunden gewinnen und hat Kundendaten verspielt. Bei einer groß angelegten Telefonakquise beauftragte das Unternehmen Anrufzentralen, welche wiederum Subunternehmer zur Bewältigung des Großauftrages einsetzten. Dabei gerieten die Kundendaten auch an „dubiose” Anrufzentralen, möglicher Datenhandel nicht ausgeschlossen. Im Mittelpunkt der Kritik steht die Condor Media AG. Diese räumt Fehler ein, insbesondere wurde kein Zugriff auf die Anrufcomputer eingeräumt, sondern Excel-Listen mit vollständigen Kundendaten weitergegeben – jedoch ohne Bankverbindung.
Als erste Maßnahme hat Kabel Deutschland Verträge mit „auffälligen Dienstleistern” gekündigt und erlaubt in neuen Dienstverträgen „keine Beschäftigung von Subunternehmen”, natürlich mit ausdrücklicher Genehmigung von Ausnahmen. Wie in dem Kontext der Satz in der Wirtschaftswoche zu verstehen sein mag, überlassen wir dem Betrachter:
Um Datenklau zu erschweren, ist eine Weitergabe von Daten nicht mehr erlaubt.
Kommentar hinzufügen
28.02.2009
Nachdem Details über die Krankheitsgeschichte einer Prominenten an die Presse gelangt waren, wurde das Leck im Universitätsklinikum Eppendorf (UKE) in Hamburg ausgemacht. Nach der Einführung eines neuen Systems mit elektronischer Krankenakte hatten unnötig viele Mitarbeiter Zugriff auf die Patientendaten. Die TAZ spricht von bis zu 80 Mitarbeitern pro Krankenakte (die Morgenpost sogar von bis zu 5800).
Kommentar hinzufügen
17.02.2009
Ein Bankkunde der Düsseldorfer Stadtsparkasse hat sein Konto beim Online-Banking gelöscht. Allerdings konnte er sich weiterhin anmelden – nur erhielt er dabei einen Einblick in das Konto einer anderen Kundin. Überweisungen sollen jedoch nicht möglich gewesen sein. Laut Aussage der Bank sei der Fehler dadurch entstanden, daß ein „Vorgang nicht ordnungsgemäß abgeschlossen” wurde – was man auch immer sich darunter vorstellen soll.
Kommentar hinzufügen
16.02.2009
Das NDR-Fernsehen hat auf eine Sicherheitslücke des Verlagshauses Madsack hingewiesen. Auf den Internetseiten waren „unter bestimmten Umständen” (Pressemeldung) Zugriff auf die Kundendaten (einschl. Kontoverbindung) mehrerer Abonnenten möglich. Zu Madsack gehören Zeitungen wie „Neue Presse”, „Hannoverschen Allgemeinen Zeitung”, „Leipziger Volkszeitung” und „Göttinger Tageblatt”. Der Datenschutzbeauftragte aus Schleswig-Holstein Dr. Thilo Weichert stuft das Sicherheitsloch als massiv ein.
Nach Aussage der Zeitung wurde die Lücke bereits wieder geschlossen. Ein Mißbrauch soll nicht festgestellt worden sein.
Kommentar hinzufügen