Nach Sony nun die UNESCO — Daten­leck macht Bewer­ber­da­ten frei zugänglich

Kaum hat die Nach­richt der Sony Daten­pan­ne die Run­de gemacht, folgt die nächs­te Mel­dung. SPIEGEL Online berich­tet von einem Daten­leck bei der UNESCO. Die­se UNO-Orga­ni­sa­ti­on hat die För­de­rung von Erzie­hung, Wis­sen­schaft und Kul­tur sowie Kom­mu­ni­ka­ti­on und Infor­ma­ti­on in den Mit­glieds­staa­ten zur Auf­ga­be. Kom­mu­ni­ka­ti­on und Infor­ma­ti­on hat die UNESCO nun etwas zu weit ausgelegt.

“Die Unesco und ich, das könn­te eine Lie­bes­ge­schich­te werden …”

… so zitiert das Nach­rich­ten­ma­ga­zin aus dem Anschrei­ben einer Bewer­be­rin. Die­ses Anschrei­ben sowie vie­le tau­send wei­te­re Bewer­bun­gen mit allen dazu­ge­hö­ri­gen Unter­la­gen und Infor­ma­tio­nen waren mit leich­ter Mani­pu­la­ti­on der URL-ID frei in den Bewer­ber­da­ten­ban­ken im Inter­net ein­seh­bar. Neben Anga­ben zu Anschrif­ten, Email, Tele­fon­num­mern, Bil­dungs­weg und beruf­li­cher Wer­de­gang wur­den auch Anga­ben zum bis­he­ri­gen Ver­dienst des Bewer­ben­den unge­wollt öffent­lich gemacht.

“Mein Name ist Hase …

… ich weiß von nichts.” Dar­auf wird sich die UNESCO nicht beru­fen kön­nen. Denn bereits am 21. März 2011 hat ein Bewer­ber die Orga­ni­sa­ti­on auf den Umstand des Daten­lecks und des­sen Funk­ti­ons­wei­se auf­merk­sam gemacht. Was ist pas­siert? Nichts! Die SPIEGEL Redak­ti­on prüf­te das Daten­leck und infor­mier­te die UNESCO am 27.04.2011 aus­führ­lich. Eine Stel­lung­nah­me liegt bis zur Ver­öf­fent­li­chung des SPIEGEL Online Arti­kels nicht vor. Die Daten­ban­ken sind aber mitt­ler­wei­le offline.

Umfang des Datenlecks

Nach SPIE­GEL-Recher­chen konn­ten von der Bewer­bung Num­mer 2 aus 2006 bis zur Num­mer 79998 im Jahr 2011 alle oben genann­ten Infor­ma­tio­nen durch ein­fa­che Ände­rung der ID-Num­mer der Bewer­bung in der URL des Bewer­ber­por­tals der UNESCO ein­ge­se­hen werden.

Der Sicher­heits­be­ra­ter des Soft­ware-Anbie­ters SOHOS kri­ti­siert den “schlam­pi­gen Umgang” mit per­so­nen­be­zo­ge­nen Daten. Sei­ner Ein­schät­zung nach sei die­ser in Deutsch­land sogar strafbar.

Risi­ken für die Betroffenen

Das Miß­brauchs­po­ten­ti­al wird zur Zeit im Hin­blick auf finan­zi­el­le Schä­den als gering ein­ge­stuft. Ärger­lich ist der Vor­fall durch die Preis­ga­be sen­si­bler per­so­nen­be­zo­ge­ner Daten alle­mal. Vor­sicht soll­ten die Bewer­ber den­noch wal­ten las­sen. Durch Aus­wer­tung der Daten und Iden­ti­fi­ka­ti­on loh­nens­wer­ter Angriffs­zie­le könn­ten die Betrof­fe­nen Opfer sog. Spear-Phis­hing-Atta­cken wer­den. Hier­bei wer­den spe­zi­ell prä­pa­rier­te und offi­zi­ell aus­se­hen­de Emails an das Opfer geschickt, um die­sen zum Auf­ruf mani­pu­lier­ter Web­sei­ten zu ver­lei­ten. Mit einem Maus­klick ist der genutz­te Com­pu­ter infi­ziert und even­tu­ell ein Hin­ter­tür­chen in das gesam­te inter­ne Netz­werk geöffnet.

Vor­beu­gen ist besser …

Eine idea­le Prä­ven­ti­ons­mög­lich­keit bie­tet zum Bei­spiel die Nut­zung des BSI-Grund­schutz­ka­ta­logs und die Aus­ge­stal­tung der IT-Sys­te­me und Pro­zes­se nach des­sen Kri­te­ri­en. Unter­stüt­zend kann hier­für das kos­ten­freie Soft­ware-Tool Ver­inice hin­zu­ge­nom­men werden.

… und fra­gen Sie Ihren Datenschutzbeauftragten

Sie haben kei­nen? Dann wird es viel­leicht höchs­te Zeit. Die Vor­aus­set­zun­gen sind schnell erfüllt und Sie sind nach dem Bun­des­da­ten­schutz­ge­setz ver­pflich­tet, einen Daten­schutz­be­auf­trag­ten zu bestel­len. Bei Ver­säum­nis oder ver­spä­te­ter Bestel­lung dro­hen Buß­gel­der. Ger­ne bera­te ich Sie im Hin­blick auf die not­wen­di­gen Maß­nah­men, eine mög­li­che Bestell­pflicht und ste­he Ihrem Unter­neh­men — auf Wunsch — eben­falls als exter­ner Daten­schutz­be­auf­trag­ter zur Ver­fü­gung -> a.s.k. Daten­schutz-Dienst­leis­tun­gen.