Datenpanne (c) Sascha Kuhrau

Am gest­ri­gen Sonn­tag wur­de gemel­det, Nut­zer­kon­ten samt Daten von regis­trier­ten Nut­zern der Web­sei­te des DuMont-Ver­lags stan­den stun­den­lang unge­schützt im Netz. Wäh­rend der Ver­lag von einem Hacker­an­griff spricht, scheint eini­ges für inter­ne Schlam­pe­rei zu spre­chen (spie​gel​.de)

Der Ver­lag nahm die betrof­fe­nen Web­sei­ten eini­ge Stun­den nach Mel­dung der Daten­pan­ne off­line. Sie sol­len im Lau­fe des heu­ti­gen Tages wie­der ans Netz gehen. Fatal: Neben den Benut­zer­na­men waren die Pass­wör­ter im Klar­text abge­spei­chert. Nach eige­nen Anga­ben des Ver­lags wur­den die Pass­wör­ter der betrof­fe­nen Accounts zurückgesetzt.

aboutpixel.de / Sicher ist Sicher © Ronald Leine

Com­mu­ni­ty Health Sys­tems, ame­ri­ka­ni­scher Betrei­ber von 206 Kran­ken­häu­sern in 29 Bun­des­staa­ten, oute­te sich die­se Woche. Man sei Opfer einer erfolg­rei­chen Hacker-Atta­cke geworden.
Gegen­über der US Auf­sichts­be­hör­de SEC gab der Betrei­ber an, zwi­schen April und Juni von einer wahr­schein­lich aus Chi­na ope­rie­ren­den Grup­pe erfolg­reich gehackt wor­den zu sein. Bei den ent­wen­de­ten Daten soll es sich um nicht-sen­si­ble Infor­ma­tio­nen gehan­delt haben. Betrof­fen sind Pati­en­ten von Ärz­ten, mit denen der Betrei­ber in den letz­ten fünf Jah­ren zusam­men­ge­ar­bei­tet habe. Man ver­mu­tet einen Zusam­men­hang mit frü­he­ren Atta­cken, bei denen min­des­tens 140 Unter­neh­men in den USA, Kana­da und Groß­bri­tan­ni­en Angriffs­ziel waren.

Sind Daten in Ihrem Unter­neh­men sicher? Ana­ly­sen der letz­ten Mona­te zei­gen, nicht nur gro­ße Kon­zer­ne und Unter­neh­men ste­hen im Fokus sol­cher Angrif­fe. Voll­au­to­ma­ti­siert wer­den von außen über das Inter­net Schwach­stel­len in Unter­neh­mens­net­zen abge­scannt und ziel­ge­rich­tet pene­triert. Oft mit Erfolg und meist ohne Kennt­nis der betrof­fe­nen Unter­neh­men. Ger­ne unter­stüt­zen wir Sie bei der Über­prü­fung und Absi­che­rung Ihres Fir­men­netz­wer­kes zusam­men mit unse­ren Part­nern für IT-Sicherheit.

Quel­le: Bei­trag auf recode​.net

Datenpanne (c) Sascha KuhrauSchon jedem Mal passiert

Sie ken­nen das bestimmt aus Ihrem eige­nen Arbeits­all­tag. Eine wich­ti­ge Nach­richt soll per Email ver­teilt wer­den. Mail­pro­gramm geöff­net, Text geschrie­ben, aus dem Adreß­buch schnell die Emp­fän­ger zusam­men­ge­klickt oder kom­for­ta­bel eine Ver­tei­ler-Lis­te genutzt und auf Sen­den gedrückt. Auf Sei­ten des Emp­fän­gers wer­den sich dann die Augen gerie­ben. Ste­hen doch alle Email-Emp­fän­ger im Klar­text im AN:/TO: Feld der Email. Ordent­lich wie der Absen­der sei­ne Adres­sen gepflegt hat, aku­rat mit Vor‑, Nach­na­me und Email-Adres­se. Übli­cher­wei­se macht man den Absen­der freund­lich auf sein Miß­ge­schick auf­merk­sam und läßt es dar­auf beruhen.

Ihr ist das auch passiert

Eine Mit­ar­bei­te­rin eines baye­ri­schen Han­del­un­ter­neh­mens hat­te weni­ger Glück. Sie schrieb eine sol­che Email an Kun­den des Unter­neh­mens. Kur­zer Inhalt, net­te Ges­te. Jedoch lei­der stan­den vor dem eigent­li­chen Text (hal­be DIN A4 Sei­te) über neun (9) Sei­ten Email-Adres­sen im Klar­text. Einem oder meh­re­ren Emp­fän­gern miß­fiel dies und der Stein des Ansto­ßes wur­de an die zustän­di­ge baye­ri­sche Lan­des­da­ten­schutz­be­hör­de weitergeleitet.

Fotolia_37944046_XS_roundedDer ewi­ger Mahner

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (kurz BayL­DA) hat in der Ver­gan­gen­heit bereits mehr­fach auf die daten­schutz­recht­li­che Unzu­läs­sig­keit eines sol­chen Vor­gangs hin­ge­wie­sen. Name plus Email-Adres­se sind per­so­nen­be­zo­ge­ne Daten im Sin­ne des Bun­des­da­ten­schutz­ge­set­zes (BDSG). Eine Über­mitt­lung (nichts ande­res stellt eine Email dar) ist daher nur zuläs­sig, wenn der Betrof­fe­ne (also der eigent­li­che Email-Inha­ber) expli­zit in die Über­mitt­lung an Drit­te schrift­lich ein­ge­wil­ligt hat oder eine gesetz­li­che Grund­la­ge vor­liegt. Bei­des ist im Fal­le einer sol­chen Pan­ne sicher nicht der Fall. 

Die Ver­wen­dung des offe­nen Email-Ver­tei­lers (also das Ein­tra­gen der Emp­fän­ger in das AN:/TO: Feld) stellt somit einen Daten­schutz­ver­stoß dar. Auf­grund der Men­ge der betrof­fe­nen Email-Adres­sen sah das BayL­DA von einem rei­nen Ver­weis auf die recht­li­che Unzu­läs­sig­keit ab. Statt­des­sen wur­de ein Buß­geld ver­hängt, das nun nach Ver­strei­chen der Wider­spruchs­frist rechts­wirk­sam gewor­den ist.

Wer zahlt?

In die­sem kon­kre­ten Fall wur­de das Buß­geld gegen die Mit­ar­bei­te­rin ver­hängt. Ob der Arbeit­ge­ber für Sie ein­springt, ist nicht bekannt.

Das BayL­DA teilt jedoch mit, daß es in einem ähn­li­chen Fall in Kür­ze zu einem Buß­geld gegen ein ande­res Unter­neh­men kom­men wird. Da hier die Mit­ar­bei­ter sei­tens der Unter­neh­mens­leis­tung nicht oder nicht aus­rei­chend für das The­ma sen­si­bi­li­siert wur­den, hat nun das Unter­neh­men selbst für den Faux­pas mit dem offe­nen Email-Ver­tei­ler geradezustehen.

Auf­klä­rung ist Pflicht

Um sol­che Vor­fäl­le von vorn­her­ein zu ver­mei­den und das Ein­tritts­ri­si­ko zu sen­ken, soll­ten Sie Ihre Mit­ar­bei­ter regel­mä­ßig für die­ses The­ma sen­si­bi­li­sie­ren. Ger­ne kön­nen Sie hier­für die­sen Blog­bei­trag einsetzen.

Was ist zu beachten?

Wei­sen Sie dar­auf hin, sol­che Rund­mails stets über das Feld BCC, also Blind Car­bon Kopie zu adre­ßie­ren. Die Nut­zung von TO: und CC: (Car­bon Copy) wird stets den glei­chen recht­li­chen Sach­ver­halt mit allen Kon­se­quen­zen aus­lö­sen. Bei klei­ne­ren falsch genutz­ten Ver­tei­lern kann es bei einer Ver­war­nung blei­ben, das ist jedoch nicht garantiert.

Hier fin­den Sie den gan­zen Bei­trag des BayL­DA vom 28.06.2013.

War­um in die Fer­ne schwei­fen, wo die Daten­pan­ne liegt so nah …

Wer braucht schon einen NSA Abhör­skan­dal aus den USA, wenn vor der eige­nen Haus­tür laut Thi­lo Wei­chert, Lei­ter des Unab­hän­gi­gen Lan­des­zen­trums für Daten­schutz Schles­wig-Hol­stein (ULD), “einer der größ­ten Daten­skan­da­le der Nach­kriegs­zeit” stattfindet.

Was ist passiert?

Das betrof­fe­ne Apo­the­ken­re­chen­zen­trum ver­kauf sei­ne Daten u.a. an das US Unter­neh­men IMS Health.Dieser Kon­zern ver­folgt nach Anga­ben von Spie­gel Online die Krank­hei­ten welt­weit von mehr als 300 Mil­lio­nen Pati­en­ten und von cir­ca 42 Mil­lio­nen gesetz­lich Kran­ken­ver­si­cher­ten aus Deutsch­land. Ein­ge der soge­nann­ten “Pati­en­ten­kar­rie­ren” sind bis 1992 zurück verfolgbar.

Ist das über­haupt zulässig?

Gene­rell ist die Wei­ter­ga­be von Rezept­da­ten in aus­rei­chend ver­schlüs­sel­ter Form (also ohne Rück­führ­bar­keit auf den betrof­fe­nen Pati­en­ten) zuläs­sig. Für ankau­fen­de Phar­ma­un­ter­neh­men sind die­se Infor­ma­tio­nen auch in anony­mi­sier­ter Form noch aus­sa­ge­kräf­tig genug.

Die Beto­nung liegt auf “aus­rei­chend verschlüsselt”

Im kon­kre­ten Fall ist die­ser Schlüs­sel ledig­lich 64-stel­lig und läßt sich, wie Spie­gel Online berich­tet, nach vor­lie­gen­den Doku­men­ten rela­tiv ein­fach auf die ursprüng­li­che Ver­si­cher­ten­num­mer zurück­rech­nen. Zusätz­lich wer­den noch Alter und Geschlecht über­tra­gen. Die unzu­rei­chen­de Ver­schlüs­se­lung birgt das Risi­ko einer Zurück­ver­fol­gung bis hin zu der Infor­ma­ti­on, wel­che Arzt­pra­xis wel­chem Pati­en­ten wel­ches Medi­ka­ment ver­ord­net hat. Das Ver­triebs­con­trol­ling von Phar­ma­un­ter­neh­men wür­de dies freu­en. Lie­ße sich doch so sehr kon­kret nach­voll­zie­hen, ob die ste­ti­gen Außen­dienst­be­su­che den behan­deln­den Arzt auch zum häu­fi­ge­ren Ver­schrei­ben der ange­prie­se­nen, eige­nen Pro­duk­te verleiten.

Thi­lo Wei­chert hofft nun, daß die Apo­the­ken Ihren Dienst­leis­ter auch ohne Gerichts­ver­fah­ren zur aus­rei­chen­den Ver­trau­lich­keit motivieren.

Wie geben Sie im Unter­neh­men eigent­lich Ihre Daten wei­ter? Ihr Daten­schutz­be­auf­trag­ter prüft die recht­li­che Zuläs­sig­keit und emp­fiehlt die pas­sen­de Lösung. Sie haben noch kei­nen Daten­schutz­be­auf­trag­ten? Dann spre­chen Sie uns an. Mög­li­cher­wei­se unter­lie­gen Sie sogar der gesetz­li­chen Bestellpflicht.

Einem Notar soll­ten die The­men Schwei­ge­pflicht und Daten­schutz nicht unbe­kannt sein. Doch nicht nur auf­grund zahl­rei­cher gesetz­li­cher Vor­schrif­ten, son­dern auch auf­grund des gesun­den Men­schen­ver­stands soll­te klar sein, das nota­ri­el­le Akten und Unter­la­gen nichts im nor­ma­len Papier­ab­fall zu suchen haben.

In Ost­fil­dern im Kreis Ess­lin­gen, unweit von Stutt­gart, sah man dies wohl anders. Anwoh­ner eines Büro- und Wohn­haus­kom­ple­xes staun­ten nicht schlecht über ihren Fund. Sta­pel­wei­se Doku­men­te eines vor Ort ansäs­si­gen staat­li­chen Nota­ri­ats lagen in einem öffent­lich zugäng­li­chen Papier­müll­be­häl­ter, so mel­det es der Schwarz­wäl­der Bote in sei­ner Online-Aus­ga­be am 07.08.2013. Nach­lass­un­ter­la­gen, Tes­ta­men­te, Grund­buch­aus­zü­ge und Erb­ver­trä­ge in Kopie oder als Aus­druck für jeder­mann zugreif­bar. Als Höhe­punkt befand sich dar­un­ter eine beglau­big­te Abschrift einer Nach­lass­an­ge­le­gen­heit mit offi­zi­el­lem Siegel.

Das Nota­ri­at schiebt den schwar­zen Peter auf die Stadt. Die­se sei schließ­lich für die daten­schutz­kon­for­me Ent­sor­gung zustän­dig. Das weist deren Spre­che­rin ent­schie­den zurück. Man stel­le zwar die Räum­lich­kei­ten, wie es das Lan­des­ge­setz vor­sä­he, sei aber defi­ni­tiv nicht für die Ver­nich­tung von Akten des Nota­ri­ats zuständig.

Unab­hän­gig davon, was nun davon stimmt, bleibt die Vor­ge­hens­wei­se des Nota­ri­ats zu hin­ter­fra­gen, die Akten an einem frei zugäng­li­chen öffent­li­chen Ort zu “lagern”. Ver­lie­rer im Kom­pe­tenz­ge­ran­gel sind mal wie­der Daten­schutz und die Betrof­fe­nen, trotz ein­schlä­gi­ger Vorschriften.

Übri­gens: Ihr Daten­schutz­be­auf­trag­ter kann Sie bei der Pla­nung und Umset­zung rechts­kon­for­mer Ent­sor­gungs- und Lösch­ver­fah­ren unter­stüt­zen. Sie haben noch kei­nen Daten­schutz­be­auf­trag­ten? Wir infor­mie­ren Sie ger­ne.