Datenverlust

Datenschutz-Skandal: Anwalts-Akten landen im Altpapier

von Sascha Kuhrau
18. November 2011
1 Kommentar

Tatort: Altpapiercontainer, Supermarkt-Parkplatz in Schwarzenbek

In diesem fand ein ahnungsloser Bürger unzählige Akten mehrerer Anwaltskanzleien, die über einen längeren Zeitraum angelegt wurden. Brisanter Inhalt: Pfändungen, Haftanträge, vertrauliche Informationen u.a. aus Recherchen privater Ermittler. Lapidarer Kommentar des Landesdatenschutzbeauftragten Dr. Thilo Weichert (ULD): “Das hat definitiv nichts in einem Altpapiercontainer zu suchen”. “Leider”, so Weichert, “passiert so etwas aber allzu oft.”

Damit ist die Sache für die betroffenen Anwaltskanzleien jedoch nicht ausgestanden. Weichert hat die Unterlagen bereits angefordert und wird der illegalen Entsorgung nachgehen. Sehr zum Leidwesen der Anwaltskammer, welche die Rechtsauffassung vertritt, die schleswig-holsteinische Landesdatenschutzbehörde sei — und zwar aus Datenschutzgründen — gar nicht zuständig, denn Anwälte würden der Schweigepflicht unterliegen. Doch mit dieser scheint es nicht weit her zu sein. Erfährt der Leser der gefundenen Akten doch z.B. zahlreiche Details über die wirtschaftliche Situation der Mandanten.

Der gefundene Aktenstapel ist über einen halben Meter hoch. Da der Altpapiercontainer voll war, klemmten die Akten unter dem Deckel und waren für jedermann einzusehen, so der Finder.

Schweigepflicht versus Datenschutz

Diese Diskussion findet man als Datenschutzbeauftragter sehr häufig in der täglichen Praxis. Gesetzlich vorgeschriebene Regelungen zur Auftragsdatenverarbeitung werden verneint unter Bezugnahme auf die Schweigepflicht u.a. nach § 203 StGB Verletzung von Privatgeheimnissen. Hierzu hat das ULD eine Stellungnahme veröffentlicht, in der nachvollziehbar die Regelungs- und Umsetzungspflicht aus dem Bundesdatenschutzgesetz (BDSG) für Anwälte dargelegt ist. So hat auch das Berliner Kammergericht unter dem Aktenzeichen 2 Ss 23/07, 1 Ws (B) 51/07 — 2 Ss 23/07 im August 2010 klargestellt, dass die Schweigepflicht und BDSG sich nicht ersetzen, sondern ergänzen.

Der DAV (Deutscher Anwaltverein) hat dies erkannt und seinen Mitgliedern in der Depeche 2010–42 eine entsprechende Checkliste für die Bereiche IT-Einsatz, externe Dienstleister, Datensicherung und Archivierung, Verschlüsselung und die Bestellpflicht eines Datenschutzbeauftragten zur Verfügung gestellt.

Quellen:

Meldung des Schenefelder Tageblatts
Meldung auf Projekt Datenschutz

Zum Thema:

Blogbeitrag “Datenschutz in der Anwaltskanzlei”

Hilfreiche Links

Wollen Sie die Risiken aus dem Bundesdatenschutzgesetz für Ihr Unternehmen minimieren? Eine passende Lösung finden Sie sicher in unserem Leistungsangebot.
Unsicher, ob für Ihr Unternehmen die gesetzliche Bestellpflicht für einen (externen) Datenschutzbeauftragten vorliegt? Die Antwort gibt unser Datenschutz-Quick-Check, siehe Leistungen.
Sie wollen eine unabhängige Prüfung, wie gut es um Datenschutz und Datensicherheit in Ihrem Unternehmen bestellt ist? Kein Problem mit unseren Leistungen.
Schulungsbedarf für Ihre Mitarbeiter? Zusätzliche Trainings und Workshops rund um Datenschutz und Datensicherheit? Erfahren Sie mehr über unsere Schulungen und Seminare.
Anleitungen, Ratgeber und Links, die das tägliche Arbeiten erleichtern und helfen können, Datenpannen zu vermeiden, finden Sie in der Rubrik Anleitungen / Ratgeber.

Datenpanne am Nürburgring — Landesregierung stellt vertrauliche Unterlagen ins Internet

von Sascha Kuhrau
7. November 2011

Das rheinland-pfälzische Umweltministerium bestätigte vergangenen Mittwoch die Datenpanne. Ein bisher durch Passwörter geschützter Bereich wurde versehentlich öffentlich geschaltet. 120 Vorlagen für den Landtag waren frei einsehbar. Darunter 7 mit schützenswerten personen- oder firmenbezogenen Daten. Die Landesregierung will nun in Zusammenarbeit mit dem Landesdatenschutzbeauftragten die Betroffenen entsprechend der gesetzlichen Datenschutz-Vorgaben informieren.

Quelle:

SWR: Landesregierung zieht Konsequenzen aus Datenpanne

Datenschutz am Arbeitsplatz: Clean Desk Prinzip / Clean Desk Policy

von Sascha Kuhrau
27. Oktober 2011

“Ein unaufgeräumter Schreibtisch ist Datenschutz pur — nichts mehr zu finden”, so ein Teilnehmer in einer der jüngsten Datenschutz-Schulungen. Nach einem ersten Schmunzeln in der Runde wurde die Aussage im Kreis der Teilnehmer diskutiert. Schnell kristallisierte sich heraus, dass das sog. Clean Desk Prinzip — also das genaue Gegenteil dieser Aussage — einen hilfreichen Beitrag zur Datensicherheit und Vertraulichkeit leistet. Personenbezogene Daten und Firmengeheimnisse sind geschützt und gelangen nicht in die Hände Unbefugter. Die zwei Grundregeln des Clean Desk Prinzips:

Aufräumen: So lapidar es klingt, aber die ehrliche Antwort auf die einfache Frage “Muss das hier rumliegen?” in Verbindung mit dem anschließenden Wegräumen ist bereits der erste große Schritt
Abschließen: Bei längerer Abwesenheit nicht nur Aufräumen, sondern die verwahrten Gegenstände wie Unterlagen, USB-Sticks, Datenträger etc. auch im Schrank oder Rollcontainer einschließen. Achja, Schlüssel nicht stecken lassen, sonst kann man sich die Mühe gänzlich sparen

Bei diesen Handgriffen geht es nicht um das Befriedigen der typisch deutschen Ordnungsnatur um ihrer Selbst willen. Mit ganz einfachen Mitteln ist der Verlust von personenbezogenen Daten und Firmeninternas am eigenen Arbeitsplatz ausgeschlossen. Zumindest, wenn man diese nicht selbst oder mutwillig entwendet.

In amerikanischen Unternehmen findet man die sog. clean desk policy in schriftlicher Form als Bestandteil des Arbeitsvertrages mit allen Konsequenzen, die für Verstösse gegen Unternehmensrichtlinien vorgesehen sind. Diese Anwendung der sog. “reinen Lehre” erweist sich im Alltag als nicht sehr praxisnah. Das heutige Arbeitsleben fordert Multitasking und lässt selten Spielraum für ein Abarbeiten von Projekten nacheinander. Aber jeder Schritt hin zu “Aufräumen & Abschließen” ist ein Schritt in die richtige Richtung. Selbst wenn der Idealzustand in der Praxis nie erreicht werden kann.

Kein Punktspiel: Datenpanne bei TSG Hoffenheim

von Sascha Kuhrau
26. September 2011

Eigentor

Wie die Rhein-Neckar-Zeitung berichtete, erhielten die Abonnenten des vereinseigenen Videoportals interessante Post. Eine Email des Portals mit dem Betreff “Rückruf: achtzehn99 tv App” enthielt keinen Texthinweis auf den Rückruf. Dafür jedoch die Email-Adressen aller Abonnenten. Darunter nicht nur geschäftliche Kontaktmöglichkeiten z.B. zu Journalisten, sondern auch private Email-Adressen u.a. die des Sinsheimer Oberbürgermeisters oder eines Betriebsrates der nahegelegenen BASF.

Rote Karte

Die rote Karte gibt es nicht nur für die Datenpanne, sondern in Verbindung mit dem fehlenden Krisenmanagement im Anschluss. “Leider ist uns heute ein technischer Fehler unterlaufen”, heißt es in deiner Mitteilung lapidar und man wolle sich “sehr herzlich entschuldigen”. Fehlanzeige, wer auf eine Erklärung der Panne hoffte zusammen mit getroffenen Maßnahmen, um solche zukünftig zu vermeiden. Stattdessen präsentierte der Verein eine neue Software, um sich dann zu verabschieden, als wäre nichts geschehen: “Wir wünschen Ihnen und Euch weiterhin gute Unterhaltung mit dem Angebot von achtzehn99.tv!”

Wäre wünschenswert, wenn TSG Hoffenheim beim Umgang mit personenbezogenen Daten in der gleichen Liga spielen würde wie mit dem runden Leder. Versprochen wird dies auf der Vereinswebseite bereits “Die TSG 1899 Hoffenheim Spielbetriebs GmbH nimmt den Schutz persönlicher Daten [.…] sehr ernst” zusammen mit dem Versprechen, dass die Daten “nicht ohne Ihr ausdrückliches Einverständnis an Dritte” weitergegeben werden. Im Moment liegt der Ball jedoch weit im eigenen Feld!

Quellen:

https://www.datenschutzbeauftragter-info.de/rote-karte-fuer-hoffenheim-datenleck-beim-erstligisten/
https://www.stuttgarter-nachrichten.de/inhalt.mailadressen-veroeffentlicht-datenpanne-bei-1899-hoffenheim.0ce07647-f797-48e3-b20c-1b51fd60cfab.html

Hilfreiche Links

Wollen Sie die Risiken aus dem Bundesdatenschutzgesetz für Ihr Unternehmen minimieren? Eine passende Lösung finden Sie sicher in unserem Leistungsangebot.
Unsicher, ob für Ihr Unternehmen die gesetzliche Bestellpflicht für einen (externen) Datenschutzbeauftragten vorliegt? Die Antwort gibt unser Datenschutz-Quick-Check, siehe Leistungen.
Sie wollen eine unabhängige Prüfung, wie gut es um Datenschutz und Datensicherheit in Ihrem Unternehmen bestellt ist? Kein Problem mit unseren Leistungen.
Schulungsbedarf für Ihre Mitarbeiter? Zusätzliche Trainings und Workshops rund um Datenschutz und Datensicherheit? Erfahren Sie mehr über unsere Schulungen und Seminare.
Anleitungen, Ratgeber und Links, die das tägliche Arbeiten erleichtern und helfen können, Datenpannen zu vermeiden, finden Sie in der Rubrik Anleitungen / Ratgeber.

Datenpanne bei REWE — mutmaßlicher Hacker untergetaucht (Update)

von Sascha Kuhrau
6. August 2011
2 Kommentare

“Für die Unternehmen der REWE Group sind verlässliche Produktqualität und Sicherheit oberstes Gebot. Darauf können sich unsere Kunden verlassen” — damit wirbt REWE auf seinen Internetseiten. Erst bei genauem Weiterlesen erkennt man, damit sind nur Produkte des Unternehmens gemeint, nicht die Datensicherheit.

Das erkannten vergangene Woche nun auch Computerhacker und machten sich erfolgreich über die IT-Infrastruktur her. Ziel und Opfer der Datenpanne waren zwei Datenbanken mit Namen, Adressen und Passwörtern von Kunden, die an einer Fußballbilder-Sammelaktion und einer Internettauschbörse teilgenommen hatten.

Nach Angaben des Unternehmens waren hierbei keine Bank- und Kreditkartendaten betroffen und die Sicherheitslücke seit Freitag abend geschlossen. Angaben über die Dauer des Datenlecks wurden keine gemacht. In den Pressemeldungen des Unternehmens und er Unternehmensgruppe findet sich nichts zu diesem Vorfall (zum Zeitpunkt des Verfassens dieses Artikels), die Information stammt von der Berliner Morgenpost.

Datenschutz tut Not

Die nicht abreißende Flut an Datenpannen der letzten Wochen zeigt deutlich auf, es steht nicht zum Besten um das Thema Datenschutz in Unternehmen. Nicht ausreichend geprüfte Softwareupdates, monatelang bekannte sträflich vernachlässigte Sicherheitslücken oder auch unzureichende Passwortsicherheit führen die Hitlisten der Gründe für diese Datenpannen an. Fragen Sie doch mal Ihren Datenschutzbeauftragten, was er gegen solche Vorkommnisse an probaten Mitteln bereithält. Sie werden staunen. Apropos: hat Ihr Unternehmen überhaupt einen Datenschutzbeauftragten? Vielleicht droht hier schon das nächste Ungemach in Form eines Bußgelds aufgrund fehlender oder verspäteter Bestellung.

Auf jeden Fall sollten alle Betroffene prüfen, ob das bei REWE genutzte Passwort auch an anderer Stelle zum Einsatz kam. Wenn ja, dann ist schneller Wechsel angesagt.

Update 18.07.2011, 16:27 Uhr:

Mittlerweile ist eine Pressemeldung der REWE Group erschienen.

Update 20.07.2011, 09:45 Uhr:

Der Spiegel berichtet, die Logindaten inkl. Passwörter sind mittlerweile frei im Netz verfügbar. Die Passwörter lagen in den Systemen von REWE in unverschlüsselter Form vor und laden nun zum Mißbrauch ein. Jetzt heisst es für Betroffene schnell reagieren und dieses Passwort überall da zu ändern, wo es möglicherweise noch zum Einsatz kam.

Update 06.08.2011, 09:10 Uhr

heise meldet im Ticker, die Kölner Polizei habe den mutmaßlichen Täter ermittelt. Es soll sich dabei um einen 23-jährigen handeln, der zur Zeit flüchtig ist. Der Verdächtige hat sich in einschlägigen Hackerforen im Internet über seine Vorgehensweise beim Eindringen in die REWE-Systeme geäußert.

Bedauerlicherweise führten diese Anleitungen zu weiteren Angriffen, so die Kölner Kripo. Weitere Datenverluste bis zu Abschaltung der Systeme seien durchaus im Bereich des Möglichen.

Da die gehackten Kundendaten mittlerweile im Internet veröffentlicht wurden, kann der Appell an mögliche Betroffene nur dringend wiederholt werden, mehrfach verwendete Passwörter schleunigst zu ändern, um Mißbrauch zu vermeiden.

Hilfreiche Datenschutz-Links

Wollen Sie die Risiken aus dem Bundesdatenschutzgesetz für Ihr Unternehmen minimieren? Eine passende Lösung finden Sie sicher in unserem Leistungsangebot.
Unsicher, ob für Ihr Unternehmen die gesetzliche Bestellpflicht für einen (externen) Datenschutzbeauftragten vorliegt? Die Antwort gibt unser Datenschutz-Quick-Check, siehe Leistungen.
Sie wollen eine unabhängige Prüfung, wie gut es um Datenschutz und Datensicherheit in Ihrem Unternehmen bestellt ist? Kein Problem mit unseren Leistungen.
Schulungsbedarf für Ihre Mitarbeiter? Zusätzliche Trainings und Workshops rund um Datenschutz und Datensicherheit? Erfahren Sie mehr über unsere Schulungen und Seminare.
Anleitungen, Ratgeber und Links, die das tägliche Arbeiten erleichtern und helfen können, Datenpannen zu vermeiden, finden Sie in der Rubrik Anleitungen / Ratgeber.

Ende des Versteckspiels — Behörden sollen Datenpannen offenlegen

von Sascha Kuhrau
22. Juli 2011
3 Kommentare

Meldepflicht von Datenpannen

Seit 2009 müssen sich Unternehmen, die personenbezogene Daten “verlieren” und eine meldepflichtige Datenpanne verursachen, unter anderem eigenständig bei der für sie zuständigen Landesdatenschutzbehörde melden und die Betroffenen ausführlich informieren. Der erzieherische Effekt durch das Bekanntwerden in der Öffentlichkeit ist bewußt eingeplant.

Gleichberechtigung — auch im Datenschutz?

Der Gesetzgeber war jedoch der Meinung, “seine” Behörden und deren Datenpannen von der Meldepflicht ausnehmen zu müssen. Über die Gründe läßt sich nur spekulieren. Nur so ist jedoch zu erklären, wieso Verbraucher Behörden mit der Schulnote 2,9 noch als vertrauenswürdiger vor allen anderen “Branchen” einstufen. Pannen werden meist nur durch den Protest seitens Betroffener bekannt.

Kritik vom Bundesdatenschutzbeauftragten

Der Bundesdatenschutzbeauftragte Peter Schaar übt Kritik. Seiner Meinung nach müssten Behörden hier den gleichen strengen Regelungen unterworfen werden wie Unternehmen. Behörden und Verwaltungen setzen auf EDV-gestützte Verfahren, sind untereinander vernetzt, speichern teilweise sensiblere Informationen als die meisten Unternehmen. Schaar sieht keinen Grund, warum hier mit unterschiedlichen Maßstäben bemessen wird.

“Eine solche Informationspflicht motiviert die verantwortlichen Stellen, mehr für die Datensicherheit und den Datenschutz zu tun. Ich kann überhaupt nicht nachvollziehen, warum hier für Datenschutzverstöße staatlicher und privater Stellen unterschiedliche Maßstäbe angelegt werden.”

Er empfiehlt, das Berliner Landesdatenschutzgesetz zum Vorbild zu nehmen. Dies sieht in § 18 a BlnDSG bereits die Meldepflicht für Behörden vor.

Wie ist Ihre Meinung dazu? Hinterlassen Sie einen Kommentar, diskutieren Sie mit.

Hilfreiche Datenschutz-Links

Wollen Sie die Risiken aus dem Bundesdatenschutzgesetz für Ihr Unternehmen minimieren? Eine passende Lösung finden Sie sicher in unserem Leistungsangebot.
Unsicher, ob für Ihr Unternehmen die gesetzliche Bestellpflicht für einen (externen) Datenschutzbeauftragten vorliegt? Die Antwort gibt unser Datenschutz-Quick-Check, siehe Leistungen.
Sie wollen eine unabhängige Prüfung, wie gut es um Datenschutz und Datensicherheit in Ihrem Unternehmen bestellt ist? Kein Problem mit unseren Leistungen.
Schulungsbedarf für Ihre Mitarbeiter? Zusätzliche Trainings und Workshops rund um Datenschutz und Datensicherheit? Erfahren Sie mehr über unsere Schulungen und Seminare.
Anleitungen, Ratgeber und Links, die das tägliche Arbeiten erleichtern und helfen können, Datenpannen zu vermeiden, finden Sie in der Rubrik Anleitungen / Ratgeber.

Schaden aus Hackerangriff gegen Kreditkartenkunden der Citigroup geht in die Millionen

von Sascha Kuhrau
29. Juni 2011
1 Kommentar

Vor kurzem ging es durch die Presse: die US-Großbank Citigroup wurde gehackt und die Daten von ca. 360.000 Kreditkartenkunden entwendet. Nun meldet das “Wall Street Journal” unter Berufung auf interne Kreise, daß ungefähr 3.400 betroffene Kreditkarteninhaber einen Schaden in Höhe von 2,7 Millionen US-Dollar durch den Mißbrauch der entwendeten Daten erlitten haben.

Die Cyber-Kriminalität nimmt stetig zu, das Gefühl der Sicherheit kann schnell trügen. Das haben Hacker-Attacken der letzten Wochen zur Genüge bewiesen.

Ein Grund mehr, kontinuierlich an der Sicherheit der IT-Systeme Ihres Unternehmens zu arbeiten. Optimal, wenn Sie dabei frühzeitig Ihren Datenschutzbeauftragten einbinden. Sie haben keinen Datenschutzbeauftragten? Dann ist vielleicht höchste Zeit.

Behörden mischen mit: Datenpanne bei Kfz-Steuer in Baden-Württemberg

von Sascha Kuhrau
23. Juni 2011
1 Kommentar

Nur nicht drängeln, jeder darf ein Mal

Das Behörden vor Datenschutzpannen nicht gefeit sind, zeigt das Land Baden-Württemberg und bringt etwas Abwechslung in die Liste aktueller Verursacher von Datenpannen.

Der Landesdatenschutzbeauftragte nahm dazu heute öffentlich auf seiner Webseite Stellung.

Freizügigkeit? Nicht bei der Steuerbemessung, jedoch bei der Datenübermittlung

Kfz-Steuerpflichtige Bürger trauten ihren Augen nicht. Der Abbuchungstext der fälligen Kfz-Steuer auf dem Kontoauszug enthielt neben den üblichen Angaben wie Namen des Steuerpflichtigen, Kfz-Kennzeichen und Steuersumme noch weitere Details parat: Angaben zu Steuernummern und Umsatzsteuer anderer Bürger und Unternehmen sowie zur Religionszugehörigkeit.

Fehlende Rechtsgrundlage

Keine noch so wohlwollende Bewertung des Vorgangs wird eine rechtliche Legitimation dieser umfassenden Datenübermittlung an die mit dem Lastschriftverfahren beauftragten Kreditinstitute hervorbringen. Die Übermittlung fand in der Zeit vom 17. Juni bis 20. Juni 2011 statt. Das Lastschriftverfahren wurde umgehend gestoppt.

Die Software ist schuld

Der Übeltäter war schnell gefunden. Nach dem Update der genutzten Software ist der Fehler aufgetreten. Im Umkehrschluß bedeutet dies jedoch, die Verantwortlichen haben Ihre Kontrollfunktion nicht richtig wahrgenommen. Softwareaktualisierungen sind vor dem Einspielen in Produktivsysteme ausführlich und gewissenhaft zu testen. Einerseits werden dadurch Sicherheitsrisiken für die Systeme sowie Datenverlust und letztendlich auch solche Datenpannen vermieden. Systeme mit sensiblen Daten sollten stets nach dem Mehr-Augen-System geprüft werden.

Vermeidbar?

Fehler können jedem passieren, alle Beteiligten sind auch nur Menschen. Von daher sind solche Pannen nie auszuschließen. Jedoch kann das Risiko aktiv minimiert werden. Wie? Das erklärt Ihnen gerne Ihr Datenschutzbeauftragter. Sie haben keinen? Dann sprechen Sie uns an, bevor Sie bei einer möglichen Bestellpflicht auch ganz ohne Datenpannen einem berächtlichen Bußgeldrisiko ausgesetzt sind.

Update

Zu diesem Beitrag erreichte uns eine Email-Anfrage, die wir gerne öffentlich ohne Nennung des Anfragenden beantworten. Die Frage lautete knapp: “Wieso müssen Behörden keine Bußgelder bezahlen, wenn gegen Datenschutzbestimmungen verstoßen wird?”

Ohne auf rechtliche Hintergründe eingehen zu wollen, werfen wir einen Blick auf das Rechte-Tasche-Linke-Tasche-Prinzip. Eine Behörde als öffentliche Einrichtung würde das Bußgeld aus der Staats- oder Landeskasse (je nach Ebene) in die Staats- oder Landeskasse bezahlen. Wo würde da der angedachte Strafcharakter bleiben?

Phishing-Emails an Kunden von K&M Elektronik

von Sascha Kuhrau
22. Juni 2011
1 Kommentar

Mehr oder weniger heiter weiter

heise security informiert heute im Newsticker über einen aktuellen Mißbrauch von Kundendaten nach einer bereits länger zurückliegenden Datenpanne — dieses Mal bei dem bekannten Elektronikhändler K&M Elektronik. Damit reiht sich das Unternehmen in eine stetig wachsende Liste illustrer Markenunternehmen mit Datenpannen ein.

Seit 2009 in den Händen von Hackern

Wie das Unternehmen gegenüber dem Verlag bestätigte, ist die Kundendatenbank bereits im November 2009 in die Hände von Hackern gefallen, Anschriften und EMail-Adressen inklusive. Trotz weiterer Sicherheitsmaßnahmen wurden im Mai 2011 erneut Kundendaten entwendet.

Phishing frei Haus

Die betroffenen Inhaber der gestohlenen Email-Adressen erhielten nun die frohe Botschaft ins Postfach: K&M gibt zum 15-jährigen Jubiläum des Online-Shops einen Gutschein aus. Link anklicken, Gutschein per Java-Applet gleich erstellen lassen und den Gutscheincode einlösen.

Der Haken: das Java-Applet kümmert sich nicht um den Wunsch des Besuchers nach einem Gutschein, sondern verfolgt eigene Interessen. Eine Schadroutine wird nachgeladen und installiert, das System des arglosen Besuchers ist verseucht.

Krisenmanagement?

K&M reagierte, nahm die allem Anschein nach mittels SQL-Injection verseuchten Systeme vom Netz. und informierte über die Facebook-Seite des Unternehmens. Da auf den befallenen Systemen ebenfalls die Mailfunktionen abliefen, konnten die betroffenen Kunden nicht per Email informiert und gewarnt werden.

Mittlerweile ist die Sicherheitslücke geschlossen, die Systeme sind wieder online. Ein Hinweis im Online-Shop informiert Besucher über die Phishing-Gefahr. Es fehlt jedoch jeglicher Hinweis auf die zuvor gehackten Kundendaten. Laut Meldung des heise-Tickers sieht K&M auch keine direkte Information der Betroffenen z.B. per Email vor. Wie übrigens schon zuvor nicht, als in der Vergangenheit die Kundendaten abhanden gekommen sind.

Krisenmanagement und das Ernstnehmen der Datenschutzinteressen von Kunden sehen anders aus. Diese Ansicht teilen die meisten Kommentatoren der Facebook-Meldung vom K&M. Das selbe Bild zeichnet sich ebenfalls in den Forenbeiträgen auf heise online ab — “the customers are not amused” in Anbetracht einer solchen Informationspolitik.

Vorbeugen ist besser …

… als hinterher die Scherben zusammenzukehren. Dieses Statement findet auf alle prominenten Datenpannen der letzten Tagen und Wochen Anwendung. Was empfiehlt der Datenschutzbeauftragte eines Unternehmens? BSI Grundschutzkatalog, regelmäßige Stresstests und Sicherheitsupdates, kontinuierliche Sensibilisierung der Mitarbeiter und Unternehmensleitung und … und … und …

Sie haben gar keinen Datenschutzbeauftragten? Das könnte ein Problem sein. Liegt nämlich eine Bestellpflicht vor, riskieren Sie bereits jetzt ein Bußgeld — ganz ohne Datenpanne. Sprechen Sie uns an — wir prüfen kostenfrei, ob eine solche Bestellpflicht für Ihr Unternehmen vorliegt.

Jeder darf mitmachen — nun auch Datenpanne bei Sega

von Sascha Kuhrau
19. Juni 2011
1 Kommentar

Die Geister, die ich rief

Nur böse Zungen behaupten, PwC hätte mit der vorgelegten Studie zum Datenschutz in Unternehmen (“Nichts dazugelernt? Unternehmen pfeifen auf Datenschutz”) die bösen Geister gerufen, die nun dazu führen, daß reihenweise bekannte und teilweise globale Markenunternehmen mit Datenpannen in den Medien landen.

Man muß kein Insider sein, um zu erkennen, daß ein Gemisch aus laxem Umgang mit dem Thema Datenschutz, teilweise veralteten IT-Sicherheitsmechanismen und dem Faktor Mensch die Ursache ist.

Der Nächste bitte

Nach Sony, Apple, Facebook, Neckermann, Acer, o2, citibank war nun laut mehreren Medienberichten Sega an der Reihe. Deren Online-Netzwerk Sega-Pass sei angegriffen und Kundendaten entwendet worden. Betroffen sollen Personendaten sowie die verschlüsselten Passwörter sein. Zahlungsdaten wären wohl nicht betroffen.

Reden ist Silber, Schweigen ist Gold

Sega hat das Pass-System derweil vom Netz genommen, angeblich um neue Funktionen einzupflegen. Eine offizielle Stellungnahme zu dem möglichen Vorfall ist nicht zu finden.

Die Hintermänner

Unklar ist zur Zeit noch, wer hinter der Attacke stecken könnte. Die Hackergruppe LulzSec, die sich zu dem Angriff auf Sony bekannte, weist jede Verantwortung von sich. Ironischerweise bietet sie Sega bei Twitter nun Hilfe an, die Schuldigen aufzuspüren:

LulzSec: “@Sega — contact us. We want to help you destroy the hackers that attacked you. We love the Dreamcast, these people are going down.”

Vorbeugen ist besser

Frühzeitige Einbindung des Datenschutzbeauftragten in (IT-) Projekte, regelmäßiges Monitoring der internen IT-Sicherheitsmaßnahmen, Aktualisierung der IT-Systeme (z.B. Sicherheitspatches), grundlegende Modellierung nach dem BSI Grundschutzkatalog sowie fortlaufende Sensibilisierung der Mitarbeiter und Unternehmensleitung zum Thema Datenschutz und Datensicherheit schließen zwar solche Datenpannen nicht aus, reduzieren aber das Risiko deutlich. Ein guter Datenschutzbeauftragter hält als Krisenmanager für den hoffentlich nicht eintretenden Fall einer Datenpanne eine festgelegte Verfahrensweise parat, welche den offenen Umgang mit dem Vorfall im Zusammenspiel mit den Datenschutzbehörden und den Betroffenen vorsieht.

Sie haben gar keinen Datenschutzbeauftragten im Unternehmen? Dann verstoßen Sie möglicherweise bereits ganz ohne Datenpanne gegen das Bundesdatenschutzgesetz und setzen Ihr Unternehmen unnötig einem Bußgeldrisiko bis 50.000 EUR aus. Im Zweifel nutzen Sie unseren Online-Fragebogen und erhalten Klarheit in Verbindung mit einem transparenten und nachvollziehbaren Angebot zu darstellbaren Preisen.