Am gestrigen Sonntag wurde gemeldet, Nutzerkonten samt Daten von registrierten Nutzern der Webseite des DuMont-Verlags standen stundenlang ungeschützt im Netz. Während der Verlag von einem Hackerangriff spricht, scheint einiges für interne Schlamperei zu sprechen (spiegel.de)
Der Verlag nahm die betroffenen Webseiten einige Stunden nach Meldung der Datenpanne offline. Sie sollen im Laufe des heutigen Tages wieder ans Netz gehen. Fatal: Neben den Benutzernamen waren die Passwörter im Klartext abgespeichert. Nach eigenen Angaben des Verlags wurden die Passwörter der betroffenen Accounts zurückgesetzt.
Community Health Systems, amerikanischer Betreiber von 206 Krankenhäusern in 29 Bundesstaaten, outete sich diese Woche. Man sei Opfer einer erfolgreichen Hacker-Attacke geworden.
Gegenüber der US Aufsichtsbehörde SEC gab der Betreiber an, zwischen April und Juni von einer wahrscheinlich aus China operierenden Gruppe erfolgreich gehackt worden zu sein. Bei den entwendeten Daten soll es sich um nicht-sensible Informationen gehandelt haben. Betroffen sind Patienten von Ärzten, mit denen der Betreiber in den letzten fünf Jahren zusammengearbeitet habe. Man vermutet einen Zusammenhang mit früheren Attacken, bei denen mindestens 140 Unternehmen in den USA, Kanada und Großbritannien Angriffsziel waren.
Sind Daten in Ihrem Unternehmen sicher? Analysen der letzten Monate zeigen, nicht nur große Konzerne und Unternehmen stehen im Fokus solcher Angriffe. Vollautomatisiert werden von außen über das Internet Schwachstellen in Unternehmensnetzen abgescannt und zielgerichtet penetriert. Oft mit Erfolg und meist ohne Kenntnis der betroffenen Unternehmen. Gerne unterstützen wir Sie bei der Überprüfung und Absicherung Ihres Firmennetzwerkes zusammen mit unseren Partnern für IT-Sicherheit.
Sie kennen das bestimmt aus Ihrem eigenen Arbeitsalltag. Eine wichtige Nachricht soll per Email verteilt werden. Mailprogramm geöffnet, Text geschrieben, aus dem Adreßbuch schnell die Empfänger zusammengeklickt oder komfortabel eine Verteiler-Liste genutzt und auf Senden gedrückt. Auf Seiten des Empfängers werden sich dann die Augen gerieben. Stehen doch alle Email-Empfänger im Klartext im AN:/TO: Feld der Email. Ordentlich wie der Absender seine Adressen gepflegt hat, akurat mit Vor‑, Nachname und Email-Adresse. Üblicherweise macht man den Absender freundlich auf sein Mißgeschick aufmerksam und läßt es darauf beruhen.
Ihr ist das auch passiert
Eine Mitarbeiterin eines bayerischen Handelunternehmens hatte weniger Glück. Sie schrieb eine solche Email an Kunden des Unternehmens. Kurzer Inhalt, nette Geste. Jedoch leider standen vor dem eigentlichen Text (halbe DIN A4 Seite) über neun (9) Seiten Email-Adressen im Klartext. Einem oder mehreren Empfängern mißfiel dies und der Stein des Anstoßes wurde an die zuständige bayerische Landesdatenschutzbehörde weitergeleitet.
Der ewiger Mahner
Das Bayerische Landesamt für Datenschutzaufsicht (kurz BayLDA) hat in der Vergangenheit bereits mehrfach auf die datenschutzrechtliche Unzulässigkeit eines solchen Vorgangs hingewiesen. Name plus Email-Adresse sind personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes (BDSG). Eine Übermittlung (nichts anderes stellt eine Email dar) ist daher nur zulässig, wenn der Betroffene (also der eigentliche Email-Inhaber) explizit in die Übermittlung an Dritte schriftlich eingewilligt hat oder eine gesetzliche Grundlage vorliegt. Beides ist im Falle einer solchen Panne sicher nicht der Fall.
Die Verwendung des offenen Email-Verteilers (also das Eintragen der Empfänger in das AN:/TO: Feld) stellt somit einen Datenschutzverstoß dar. Aufgrund der Menge der betroffenen Email-Adressen sah das BayLDA von einem reinen Verweis auf die rechtliche Unzulässigkeit ab. Stattdessen wurde ein Bußgeld verhängt, das nun nach Verstreichen der Widerspruchsfrist rechtswirksam geworden ist.
Wer zahlt?
In diesem konkreten Fall wurde das Bußgeld gegen die Mitarbeiterin verhängt. Ob der Arbeitgeber für Sie einspringt, ist nicht bekannt.
Das BayLDA teilt jedoch mit, daß es in einem ähnlichen Fall in Kürze zu einem Bußgeld gegen ein anderes Unternehmen kommen wird. Da hier die Mitarbeiter seitens der Unternehmensleistung nicht oder nicht ausreichend für das Thema sensibilisiert wurden, hat nun das Unternehmen selbst für den Fauxpas mit dem offenen Email-Verteiler geradezustehen.
Aufklärung ist Pflicht
Um solche Vorfälle von vornherein zu vermeiden und das Eintrittsrisiko zu senken, sollten Sie Ihre Mitarbeiter regelmäßig für dieses Thema sensibilisieren. Gerne können Sie hierfür diesen Blogbeitrag einsetzen.
Was ist zu beachten?
Weisen Sie darauf hin, solche Rundmails stets über das Feld BCC, also Blind Carbon Kopie zu adreßieren. Die Nutzung von TO: und CC: (Carbon Copy) wird stets den gleichen rechtlichen Sachverhalt mit allen Konsequenzen auslösen. Bei kleineren falsch genutzten Verteilern kann es bei einer Verwarnung bleiben, das ist jedoch nicht garantiert.
Warum in die Ferne schweifen, wo die Datenpanne liegt so nah …
Wer braucht schon einen NSA Abhörskandal aus den USA, wenn vor der eigenen Haustür laut Thilo Weichert, Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD), “einer der größten Datenskandale der Nachkriegszeit” stattfindet.
Was ist passiert?
Das betroffene Apothekenrechenzentrum verkauf seine Daten u.a. an das US Unternehmen IMS Health.Dieser Konzern verfolgt nach Angaben von Spiegel Online die Krankheiten weltweit von mehr als 300 Millionen Patienten und von circa 42 Millionen gesetzlich Krankenversicherten aus Deutschland. Einge der sogenannten “Patientenkarrieren” sind bis 1992 zurück verfolgbar.
Ist das überhaupt zulässig?
Generell ist die Weitergabe von Rezeptdaten in ausreichend verschlüsselter Form (also ohne Rückführbarkeit auf den betroffenen Patienten) zulässig. Für ankaufende Pharmaunternehmen sind diese Informationen auch in anonymisierter Form noch aussagekräftig genug.
Die Betonung liegt auf “ausreichend verschlüsselt”
Im konkreten Fall ist dieser Schlüssel lediglich 64-stellig und läßt sich, wie Spiegel Online berichtet, nach vorliegenden Dokumenten relativ einfach auf die ursprüngliche Versichertennummer zurückrechnen. Zusätzlich werden noch Alter und Geschlecht übertragen. Die unzureichende Verschlüsselung birgt das Risiko einer Zurückverfolgung bis hin zu der Information, welche Arztpraxis welchem Patienten welches Medikament verordnet hat. Das Vertriebscontrolling von Pharmaunternehmen würde dies freuen. Ließe sich doch so sehr konkret nachvollziehen, ob die stetigen Außendienstbesuche den behandelnden Arzt auch zum häufigeren Verschreiben der angepriesenen, eigenen Produkte verleiten.
Thilo Weichert hofft nun, daß die Apotheken Ihren Dienstleister auch ohne Gerichtsverfahren zur ausreichenden Vertraulichkeit motivieren.
Wie geben Sie im Unternehmen eigentlich Ihre Daten weiter? Ihr Datenschutzbeauftragter prüft die rechtliche Zulässigkeit und empfiehlt die passende Lösung. Sie haben noch keinen Datenschutzbeauftragten? Dann sprechen Sie uns an. Möglicherweise unterliegen Sie sogar der gesetzlichen Bestellpflicht.
Einem Notar sollten die Themen Schweigepflicht und Datenschutz nicht unbekannt sein. Doch nicht nur aufgrund zahlreicher gesetzlicher Vorschriften, sondern auch aufgrund des gesunden Menschenverstands sollte klar sein, das notarielle Akten und Unterlagen nichts im normalen Papierabfall zu suchen haben.
In Ostfildern im Kreis Esslingen, unweit von Stuttgart, sah man dies wohl anders. Anwohner eines Büro- und Wohnhauskomplexes staunten nicht schlecht über ihren Fund. Stapelweise Dokumente eines vor Ort ansässigen staatlichen Notariats lagen in einem öffentlich zugänglichen Papiermüllbehälter, so meldet es der Schwarzwälder Bote in seiner Online-Ausgabe am 07.08.2013. Nachlassunterlagen, Testamente, Grundbuchauszüge und Erbverträge in Kopie oder als Ausdruck für jedermann zugreifbar. Als Höhepunkt befand sich darunter eine beglaubigte Abschrift einer Nachlassangelegenheit mit offiziellem Siegel.
Das Notariat schiebt den schwarzen Peter auf die Stadt. Diese sei schließlich für die datenschutzkonforme Entsorgung zuständig. Das weist deren Sprecherin entschieden zurück. Man stelle zwar die Räumlichkeiten, wie es das Landesgesetz vorsähe, sei aber definitiv nicht für die Vernichtung von Akten des Notariats zuständig.
Unabhängig davon, was nun davon stimmt, bleibt die Vorgehensweise des Notariats zu hinterfragen, die Akten an einem frei zugänglichen öffentlichen Ort zu “lagern”. Verlierer im Kompetenzgerangel sind mal wieder Datenschutz und die Betroffenen, trotz einschlägiger Vorschriften.
Übrigens: Ihr Datenschutzbeauftragter kann Sie bei der Planung und Umsetzung rechtskonformer Entsorgungs- und Löschverfahren unterstützen. Sie haben noch keinen Datenschutzbeauftragten? Wir informieren Sie gerne.
Der cloudbasierte Notizservice Evernote wurde Opfer eines erfolgreichen Hackerangriff. Dies verlautbarte das Unternehmen gestern auf seinem Blog.
Lapidar wird über den Zugriff und das Auslesen von ca. 50 Millionen Nutzerprofilen samt Passwörtern berichtet. Letztere waren verschlüsselt und bei Evernote ist man sich ziemlich sicher, das eine Entschlüsselung nicht möglich sei. Dennoch hat das Unternehmen alle Passwörter zurückgesetzt. Sobald sich ein Nutzer einloggt, wird er zur Vergabe eines neuen Passworts aufgefordert. Eine weitere Aufklärung des Nutzers über das Warum und Wieso unterläßt Evernote an dieser Stelle. Die Gründe muss der Nutzer selbst im Web recherchieren.
Nach Angaben von Evernote seien keine Zahlungsdaten von Premium-Nutzern betroffen gewesen.
Update 03.03.2013, 15 Uhr: Mittlerweile versendet das Unternehmen Emails an die Account-Inhaber mit einer entsprechenden Erklärung des Vorfalls. Es handelt sich dabei um eine Übersetzung des eingangs erwähnten Blogbeitrags.
Der Kurznachrichtendienst Twitter vermeldet einen Angriff. 250000 Nutzerkonten, deren Nutzernamen und Kennwörter sind betroffen. Twitter hat die betroffenen Accounts gesperrt, die Nutzer informiert und zur Passwortänderung aufgefordert.
2011 ging das Ereignis als bisher größte Datenpanne der Geschichte durch die Medien (wir berichteten). Hackern gelang es, über 75 Millionen Kundendaten aus dem Sony Netzwerk zu entwenden, darunter Namen, Anmeldedaten und Zahlungsangaben. In weiteren nachfolgenden Hacker-Attacken wurden weitere Millionen Datensätze entwendet mit teilweise noch ausführlicheren Nutzerangaben.
Das Krisenmanagement des Konzern war durchaus als suboptimal einzustufen — siehe Bericht. Aufgrund des Firmensitzes in Japan wog man sich jedoch in Sicherheit vor der Verfolgung durch die Schutzbehörden. Doch damit ist nun Schluss. Was nicht nur zahlreiche Politiker und Datenschützer, sondern auch gerade Kunden von Sony gefordert haben, hat die britische Datenschutzbehörde nun in die Tat umgesetzt. Sie verhängte eine Geldstrafe in Höhe von 300.000 Euro, gegen das Unternehmen. Begründung: Wer für so viele sensiblen Daten mit Mißbrauchspotential verantwortlich ist, muss dem Schutz dieser Daten oberste Priorität einräumen.
Sony hat Widerstand gegen die Strafe angekündigt, schließlich sei man “Opfer” einer kriminellen Attacke geworden. Das Unternehmen blendet dabei aus, dass es selbst erst durch Mängel in der IT Infrastruktur (schwache Passwörter, fehlende Sicherheitspatches) die Möglichkeit für diese mehrfachen Angriffe geschaffen hat. Thema verfehlt, Sechs, setzen!
Fragen Sie doch Ihren Datenschutzbeauftragten
Ihr Datenschutzbeauftragter muss kein IT Profi sein. Er wird jedoch ausreichend Fachwissen mitbringen, um unter anderem auch auf Sicherheitslücken durch schwache Passwörter oder nicht zeitnahe / fehlende Sicherheitspatches konsequent hinzuweisen. Lösungen lassen sich meist unkompliziert durch technische und / oder organisatorische Maßnahmen herbeiführen und das Schutzniveau weiter erhöhen. Seien Sie schlauer und sprechen Sie mit Ihrem Datenschutzbeauftragten. Vermeiden Sie Datenpannen und die damit verbundenen Bußgeldrisiken. Sie haben keinen Datenschutzbeauftragten? Wir helfen gerne weiter.
DIE WELT berichtet heute nachmittag online von einer Datenpanne in zwei Kliniken in Baden-Württemberg:
Sicherungsbänder bei Zigarettenpause verbummelt
Der zuständige IT-Mitarbeiter ist wie jeden Tag mit den Sicherungsbändern auf dem Weg vom Serverraum zum Tresor. Unterwegs hält er an einer Rampe für eine kurze Rauchpause an, legt die Bänder auf einem Tisch ab. Nach der Pause ging er wieder an seine Arbeit, jedoch ohne die Sicherungsbänder. Als er seinen Fehler nach einiger Zeit bemerkte und an den Pausen-Ort zurückkehrte, waren die Sicherungsbänder verschwunden. Erschwerend kommt hinzu, dass der Mitarbeiter den Vorfall erst eine Woche später meldete und auch das interne Sicherungskontrollsystem das Verschwinden der Bänder nicht aufgedeckt hat.
Sensible Patientendaten betroffen
300.000 Datensätze sollen die Bänder umfasst haben. Darunter vollständige Patientenakten, Labordaten, Befunde, Arztbriefe und Schriftverkehr bis zurück ins Jahr 1996.
Datenschutzbehörde spricht von gravierendem Vorfall
Die Klinikleitung beteuert, lediglich die Arztbriefe können ausgelesen werden. Für alle weiteren Daten sei spezielle Hard- und Software notwendig. Weitere Ausführungen über eine zusätzliche Verschlüsselung wurden nicht getätigt. Aufgrund der Sensibilität der Daten und der erschreckend hohen Menge spricht der Landesdatenschutzbeauftragte von Baden-Württemberg, Jörg Klingbeil von einem gravierenden Vorfall.
§ 42a BDSG Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten
Lt. Klingbeil hat die Klinik nicht gegen § 42a BDSG verstoßen. Die Datenpanne, wurde wenn auch verspätet, korrekt gemeldet und durch Anzeigen in überregionalen Zeitungen bekannt gemacht. Dies geschah zwar mit Verzögerung, jedoch auf Bitten der Staatsanwaltschaft, um die Ermittlungen zu diesem Zeitpunkt nicht zu gefährden. Alles weitere müsse jetzt geklärt werden.
Am 04. August 2012 wurde die Spieleplattform battle.net des Anbieters Blizzard gehackt. Betroffen sind neben der Email-Adresse (alle Regionen außer China) auch Sicherheitsabfragen (zumindest von Spiele-Servern aus Nordamerika). Am 09.08.2012 stellte Blizzard eine offizielle Stellungnahme ins Netz. Mit erhöhtem Spamaufkommen für Nutzer von battle.net ist zu rechnen. Blizzard warnt weiterhin vor möglichen Phishing-Emails und rät zum zeitnahen Wechsel der Zugangspasswörter (Server Nordamerika).