Nach Sony nun die UNESCO — Datenleck macht Bewerberdaten frei zugänglich
Kaum hat die Nachricht der Sony Datenpanne die Runde gemacht, folgt die nächste Meldung. SPIEGEL Online berichtet von einem Datenleck bei der UNESCO. Diese UNO-Organisation hat die Förderung von Erziehung, Wissenschaft und Kultur sowie Kommunikation und Information in den Mitgliedsstaaten zur Aufgabe. Kommunikation und Information hat die UNESCO nun etwas zu weit ausgelegt.
“Die Unesco und ich, das könnte eine Liebesgeschichte werden …”
… so zitiert das Nachrichtenmagazin aus dem Anschreiben einer Bewerberin. Dieses Anschreiben sowie viele tausend weitere Bewerbungen mit allen dazugehörigen Unterlagen und Informationen waren mit leichter Manipulation der URL-ID frei in den Bewerberdatenbanken im Internet einsehbar. Neben Angaben zu Anschriften, Email, Telefonnummern, Bildungsweg und beruflicher Werdegang wurden auch Angaben zum bisherigen Verdienst des Bewerbenden ungewollt öffentlich gemacht.
“Mein Name ist Hase …
… ich weiß von nichts.” Darauf wird sich die UNESCO nicht berufen können. Denn bereits am 21. März 2011 hat ein Bewerber die Organisation auf den Umstand des Datenlecks und dessen Funktionsweise aufmerksam gemacht. Was ist passiert? Nichts! Die SPIEGEL Redaktion prüfte das Datenleck und informierte die UNESCO am 27.04.2011 ausführlich. Eine Stellungnahme liegt bis zur Veröffentlichung des SPIEGEL Online Artikels nicht vor. Die Datenbanken sind aber mittlerweile offline.
Umfang des Datenlecks
Nach SPIEGEL-Recherchen konnten von der Bewerbung Nummer 2 aus 2006 bis zur Nummer 79998 im Jahr 2011 alle oben genannten Informationen durch einfache Änderung der ID-Nummer der Bewerbung in der URL des Bewerberportals der UNESCO eingesehen werden.
Der Sicherheitsberater des Software-Anbieters SOHOS kritisiert den “schlampigen Umgang” mit personenbezogenen Daten. Seiner Einschätzung nach sei dieser in Deutschland sogar strafbar.
Risiken für die Betroffenen
Das Mißbrauchspotential wird zur Zeit im Hinblick auf finanzielle Schäden als gering eingestuft. Ärgerlich ist der Vorfall durch die Preisgabe sensibler personenbezogener Daten allemal. Vorsicht sollten die Bewerber dennoch walten lassen. Durch Auswertung der Daten und Identifikation lohnenswerter Angriffsziele könnten die Betroffenen Opfer sog. Spear-Phishing-Attacken werden. Hierbei werden speziell präparierte und offiziell aussehende Emails an das Opfer geschickt, um diesen zum Aufruf manipulierter Webseiten zu verleiten. Mit einem Mausklick ist der genutzte Computer infiziert und eventuell ein Hintertürchen in das gesamte interne Netzwerk geöffnet.
Vorbeugen ist besser …
Eine ideale Präventionsmöglichkeit bietet zum Beispiel die Nutzung des BSI-Grundschutzkatalogs und die Ausgestaltung der IT-Systeme und Prozesse nach dessen Kriterien. Unterstützend kann hierfür das kostenfreie Software-Tool Verinice hinzugenommen werden.
… und fragen Sie Ihren Datenschutzbeauftragten
Sie haben keinen? Dann wird es vielleicht höchste Zeit. Die Voraussetzungen sind schnell erfüllt und Sie sind nach dem Bundesdatenschutzgesetz verpflichtet, einen Datenschutzbeauftragten zu bestellen. Bei Versäumnis oder verspäteter Bestellung drohen Bußgelder. Gerne berate ich Sie im Hinblick auf die notwendigen Maßnahmen, eine mögliche Bestellpflicht und stehe Ihrem Unternehmen — auf Wunsch — ebenfalls als externer Datenschutzbeauftragter zur Verfügung -> a.s.k. Datenschutz-Dienstleistungen.