Alle Datenpannen aus Deutschland
11.08.2008
Die Verbraucherzentrale Schleswig-Holstein hat ein Datenleck aufgedeckt, in dem eine CD mit personenbezogenen Daten wie Namen, Telefonnummern, Geburtsdaten sowie komplette Kontoverbindungen von 17.000 Verbrauchern im Umlauf ist.
Vorausgegangen sind zahlreiche Beschwerden über unerwünschte Anrufe. Bei der Analyse der Beschwerden stellte sich heraus, daß viele zuvor die Lose der Süddeutschen Klassenlotterie (SKL) per Kontoabbuchung bezahlt hatten. „Die Namen der Exceldateien weisen auf die Süddeutsche Klassenlotterie (SKL) hin”, so die Verbraucherzentrale.
Kommentar hinzufügen
04.07.2008
Über eine Sicherheitslücke waren im firmeninternen Netz des Marktforschungsinstituts TNS Infratest/Emnid rund 41000 persönliche Datensätze über 4000 freie Mitarbeiter einsehbar. Um in das System einzudringen war allerdings ein Passwort nötig, so dass die Mitarbeiter nur untereinander ihre Daten einsehen konnten.
Das Passwort war dem Chaos Computer Club zugespielt worden, der die Sicherheitslücke aufdeckte. Das Hamburger Abendblatt berichtete über den Fall:
Konkret konnten Namen, Anschriften, Geburtsdatum, E-Mail-Adressen und Telefonnummern von Mitarbeitern eingesehen werden. Bei vielen Personen seien zudem Monatseinkommen, Kontoverbindungen, Krankenversicherungsdaten und Kreditkarteninformationen zugänglich gewesen.
Nachtrag:
Laut Chaos Computer Club handelte es sich nicht um 4000 freie Mitarbeiter, sondern um 40000 Personen, die sich für das Institut für Umfragen zur Verfügung stellen. Die Daten waren scheinbar doch nicht passwortgeschützt, sondern konnten einfach mit Kenntnis der URL erreicht gewesen. Außerdem sollen die Datensätze sehr detailliert werden (etwa auch eine Auflistung der Haushaltsgeräte im Besitz dieser Personen). Die Presse sei von TNS falsch informiert worden.
Kommentar hinzufügen
23.06.2008
Report München war Kriminellen auf der Spur, die mit falschen Identitäten handeln. Dabei stießen die Redakteure auf ein riesiges Datenleck bei einigen deutschen Meldebehören. Die verwenden zum Großteil eine Software des Herstellers HSH Soft- und Hardware Vertriebs GmbH zur Verwaltung der Melderegister. Standardmäßig ist diese Software mit einem Beispiel-Account ausgestattet, welcher ausgerechnet Root-Rechte (Superuser) hat. Da in vielen Behörden offensichtlich nicht ausreichend Personal mit technischem Know-How zur Verfügung steht wurde die Software nicht korrekt eingerichtet. Der Root-Account blieb bei einigen Behörden erhalten und das Passwort wurde nicht geändert.
Das allein wäre wahrscheinlich schon ein Skandal, da dann Mitarbeiter aus fast allen deutschen Meldebehörden über das Internet Zugriff auf die betroffenen Melderegister hätten. Aber damit nicht genug: Die Firma HSH hatte die Zugangsdaten zu diesem Beispielaccount zu Demonstrationszwecken auf ihrer Internetseite veröffentlicht. Damit war es jedem möglich auf die Melderegister lesend und schreibend zuzugreifen, sowie neue Benutzeraccounts anzulegen. Das Datenleck ist also nicht damit beseitigt, dass die betroffenen Behörden jetzt das Passwort geändert haben, da sich Kriminelle möglicherweise bereits eine Hintertür (also einen anderen Account) eingebaut haben. Zudem ist die Integrität der betroffenen Melderegister nicht mehr gewährleistet.
Peter Schaar, Bundesbeauftragter für den Datenschutz (Interview Report München):
Also, ich denke mal, ganz klar ist, dass überall dort wo diese Software eingesetzt wird, eine Revision der Systeme erforderlich ist. Und man wird dann entscheiden müssen, ob es ausreicht, die Passwörter […] zu ändern, oder ob hier generell noch einmal neu angefangen werden muss mit der Installation solcher Systeme.
Zu den Meldedaten gehören laut Wikipedia :
- Familiennamen, frühere Namen, Vornamen
- Doktorgrad, Ordensnamen/Künstlernamen
- Tag und Ort der Geburt, Geschlecht
- gesetzlicher Vertreter
- Staatsangehörigkeit(en)
- Religionszugehörigkeit
- gegenwärtige und frühere Anschriften
- Familienstand, Ehegatte oder Lebenspartner, Kinder
- Ausstellungsbehörde, Datum und Gültigkeitsdauer des Personalausweises/Passes
- Übermittlungssperren (z.B. bei Gefahr für Leben, Gesundheit oder persönliche Freiheit)
- Sterbetag und -ort
- Tatsache, dass der Betroffene vom Wahlrecht ausgeschlossen ist
- steuerrechtliche Daten
- Passversagungsgründe, Entzug des Ausweises
Kommentar hinzufügen
27.05.2008
Ein Mitarbeiter der Otto-von-Guerike-Universität Magdeburg wollte am Wochenende zu Hause arbeiten und hatte deshalb die Daten von rund 44000 (ehemaligen) Studenten auf einen öffentlichen Server der Universität kopiert. Da er vergessen hatte diese zu löschen waren sie dort 10 Tage lang abrufbar und auch über Google zu finden.
Die Datensätze enthielten Name, Geburtsdatum, Anschrift, Telefonnummer und Herkunft der Studenten. Nach Bekanntwerden wurden die Studenten per E-Mail von dem Vorfall informiert und die Daten sofort vom Server und kurz darauf aus dem Google-Cache gelöscht. Allerdings ist Google nicht der einzige Bot, der Internetseiten archiviert. Fraglich ist außerdem, ob die Daten zuvor bereits von Kriminellen kopiert wurden.
Kommentar hinzufügen
15.05.2008
Etwas unfreiwillig berühmt wurde eine Frau aus Mannheim im Mai 2008. Und zwar wurde im Internet ein Mitschnitt eines Notrufs bei der Mannheimer Polizei veröffentlicht. Dieser liegt bereits ein paar Jahre zurück, als sich die Dame wegen Ruhestörung bei der Polizei beschwerte. Ihr sehr starker Mannheimer Dialekt, die Verwendung von Kraftausdrücken sowie Androhung von Gewalt und ein vielleicht etwas zu lockerer Polizist verbreite sich sehr schnell unter den Kollegen und landete letztendlich bei Youtube. Nachdem dieser eine gewisse Popularität erlangt, schalteten sich TV-Sender ein vermarkteten anschließend das ganze Spektakel um eine streitsüchtige Frau.
Was dieser Fall lehrte: Anrufe werden bei der Polizei automatisch mitgeschnitten und nach einer bestimmten Frist ebenso gelöscht. In dem Fall gab es bei der Polizei einen Innentäter, der diesen Mitschnitt auf einem anderen Medium sicherte und anschließend verteilte. Der Beamte, der den Mitschnitt ins Internet stellte, wurde ermittelt – jedoch versicherte er, daß es zu diesem Zeitpunkt kein Dienstgeheimnis mehr war.
Rückblickend betrachtet hätte man in so einem Fall mindestens Namen und Anschriften unkenntlich machen müssen. Aber Mitleid braucht man mit der Frau nicht mehr zu haben: sie ist einen Exklusivpakt mit Sat 1 eingegangen.
Kommentar hinzufügen
16.04.2008
Auf eine Kleine Anfrage von Abgeordneten der FDP-Fraktion im Bundestag zu Computerverlusten bei Bundesbehörden antwortete die Bundesregierung:
Eine zentrale Statistik der Computer- und Datenträgerverluste der Bundesbehörden wird nicht geführt. Soweit in der Kürze der Zeit ermittelbar, sind in den Jahren 2005 bis 2007 in deutschen Bundesbehörden rd. 189 stationäre Personalcomputer, rd. 326 tragbare Computer (Notebooks), rd. 38 Memorysticks, CDs und DVDs sowie rd. 271 Mobilfunktelefone und Taschencomputer (Handheld-Organizer) gestohlen worden, abhanden gekommen bzw. unauffindbar. […] Bei rd. 60 Prozent der in Absatz 1 genannten Fälle (ohne Mobilfunktelefone und Taschencomputer) wurden Disziplinarermittlungen durchgeführt und/oder strafrechtliche Ermittlungen aufgenommen.
Bei den verlorengegangenen Daten handelte es sich laut Bundesregierung meist um öffentliche Daten.
Ein gestohlener Laptop des Bundesamtes für den Zivildienst enthielt auf der verschlüsselten Festplatte bis zu 1200
Adressdaten von Zivildienstleistenden einer Betreuungsregion. In einem weiteren Fall befanden sich auf einem USB-Stick des Statistischen Bundesamtes anonymisierte Veranlagungsdaten der Einkommenssteuer von 2001. In 5 Fällen enthielten Datenträger des Bundesministeriums der Verteidigung Informationen der Einstufung VS-VERTRAULICH und höher. In diesem Zusammenhang wird derzeit ermittelt. In wenigstens einem Fall waren auch personenbezogene Informationen betroffen.
Der Wert der gestohlenen Geräte wurde mit insgesamt rund 540000 Euro beziffert. Der Sprecher des Bundesdatenschutzbeauftragten sagte der Bild-Zeitung:
Die Vorfälle zeigen, wie wichtig eine Meldepflicht für solche Datenverluste ist, damit wir ermitteln können.
Kommentar hinzufügen
14.03.2008
Der Bundesnachrichtendienst hat Bankdaten von einem ehemaligen Mitarbeiter der Liechtenstein Global Trust Treuhand gekauft. Der Mitarbeiter hatte die Daten erlangt, als er mit der Digitalisierung des Archivs beauftragt wurde. Die Daten geben Auskunft über Steuersünder und machten vorallem in Deutschland Schlagzeilen.
Nachtrag, 08.02.2010: Die Bank muss den betroffenen Kunden nun möglicherweise eine Entschädigung in Millionenhöhe zahlen, weil sie nicht rechtzeitig über die Datenpanne informiert hat.
Kommentar hinzufügen
13.11.2007
Der Darmstädter Polizei ist ein Malheur passiert: Ein Beamter versandte die Objekt- und Personenschutzdaten über den Presseverteiler. So wurde unter anderem bekannt, wann Polizeistreifen nachts die Wohnung von Bundesministerin Zypries kontrollieren.
Kommentar hinzufügen
08.10.2007
Rechtsextremisten machen im Raum Dresden mit Hilfe einer „Anti-Antifa-Akte” Jagd auf die Neonazigegner. Brisant ist, dass die Akte auch Fotos und Videomaterial der sächsischen Polizei enthält. So sollen die Rechtsextremisten im Besitz von 37 Fotos und 9 Videos aus Akten des LKA sein, welche hauptsächlich Linke zeigen. Die Akte enthält auch Namen, Adressen und Geburtsdaten. Ob die allerdings auch aus Ermittlungsakten der Polizei stammen ist unklar.
Unklar ist auch, wie die Neonazis an die Unterlagen kamen. Möglicherweise gibt es einen Spitzel oder es wurden gezielt Strafanzeigen gegen Linke gestellt und dann Akteneinsicht beantragt.
Kommentar hinzufügen
10.09.2007
Das BKA ermittelte gegen die Verursacher von Brandanschlägen wegen Terrorismusverdacht. Da vermutet wurde, dass die Täter Mietfahrzeuge benutzten, wurden mehrere Autovermietungen, die unter dem Dach der CCUniRent zusammen arbeiten, um Mithilfe bei der Fahndung gebeten. Einer der Autovermieter versendete das BKA-Schreiben jedoch über seinen Kunden-E-Mailverteiler weiter.
Wie die TAZ schreibt wurde durch die Veröffentlichung des vertraulichen Schreibens bekannt, dass das BKA die Autovermieter bat, die Daten sämtlicher Kunden zu übermitteln, die an einem bestimmten Tag ein Auto gemietet hatten. Sollten die Autovermieter dieser (nicht richterlichen) Aufforderung nachgekommen sein, wäre dies gleich noch ein zweites Datenleck, welches den ein oder anderen Fahrzeugmieter in eine unangenehme Situation bringen könnte.
Kommentar hinzufügen