Zum Inhalt springen

Panne

Daten­pan­ne bei DuMont: Benut­zer­na­men und Pass­wör­ter frei einsehbar

Am gest­ri­gen Sonn­tag wur­de gemel­det, Nut­zer­kon­ten samt Daten von regis­trier­ten Nut­zern der Web­sei­te des DuMont-Ver­lags stan­den stun­den­lang unge­schützt im Netz. Wäh­rend der Ver­lag von einem Hacker­an­griff spricht, scheint eini­ges für inter­ne Schlam­pe­rei zu spre­chen (spie​gel​.de)

Der Ver­lag nahm die betrof­fe­nen Web­sei­ten eini­ge Stun­den nach Mel­dung der Daten­pan­ne off­line. Sie sol­len im Lau­fe des heu­ti­gen Tages wie­der ans Netz gehen. Fatal: Neben den Benut­zer­na­men waren die Pass­wör­ter im Klar­text abge­spei­chert. Nach eige­nen Anga­ben des Ver­lags wur­den die Pass­wör­ter der betrof­fe­nen Accounts zurückgesetzt.

Hacker­an­grif­fe neh­men wei­ter zu — 4,5 Mil­lio­nen Pati­en­ten­da­ten entwendet

Com­mu­ni­ty Health Sys­tems, ame­ri­ka­ni­scher Betrei­ber von 206 Kran­ken­häu­sern in 29 Bun­des­staa­ten, oute­te sich die­se Woche. Man sei Opfer einer erfolg­rei­chen Hacker-Atta­cke geworden.
Gegen­über der US Auf­sichts­be­hör­de SEC gab der Betrei­ber an, zwi­schen April und Juni von einer wahr­schein­lich aus Chi­na ope­rie­ren­den Grup­pe erfolg­reich gehackt wor­den zu sein. Bei den ent­wen­de­ten Daten soll es sich um nicht-sen­si­ble Infor­ma­tio­nen gehan­delt haben. Betrof­fen sind Pati­en­ten von Ärz­ten, mit denen der Betrei­ber in den letz­ten fünf Jah­ren zusam­men­ge­ar­bei­tet habe. Man ver­mu­tet einen Zusam­men­hang mit frü­he­ren Atta­cken, bei denen min­des­tens 140 Unter­neh­men in den USA, Kana­da und Groß­bri­tan­ni­en Angriffs­ziel waren.

Sind Daten in Ihrem Unter­neh­men sicher? Ana­ly­sen der letz­ten Mona­te zei­gen, nicht nur gro­ße Kon­zer­ne und Unter­neh­men ste­hen im Fokus sol­cher Angrif­fe. Voll­au­to­ma­ti­siert wer­den von außen über das Inter­net Schwach­stel­len in Unter­neh­mens­net­zen abge­scannt und ziel­ge­rich­tet pene­triert. Oft mit Erfolg und meist ohne Kennt­nis der betrof­fe­nen Unter­neh­men. Ger­ne unter­stüt­zen wir Sie bei der Über­prü­fung und Absi­che­rung Ihres Fir­men­netz­wer­kes zusam­men mit unse­ren Part­nern für IT-Sicherheit.

Quel­le: Bei­trag auf recode​.net

Offe­ner Email-Ver­tei­ler führt zu Buß­geld gegen Unternehmen

Schon jedem Mal passiert

Sie ken­nen das bestimmt aus Ihrem eige­nen Arbeits­all­tag. Eine wich­ti­ge Nach­richt soll per Email ver­teilt wer­den. Mail­pro­gramm geöff­net, Text geschrie­ben, aus dem Adreß­buch schnell die Emp­fän­ger zusam­men­ge­klickt oder kom­for­ta­bel eine Ver­tei­ler-Lis­te genutzt und auf Sen­den gedrückt. Auf Sei­ten des Emp­fän­gers wer­den sich dann die Augen gerie­ben. Ste­hen doch alle Email-Emp­fän­ger im Klar­text im AN:/TO: Feld der Email. Ordent­lich wie der Absen­der sei­ne Adres­sen gepflegt hat, aku­rat mit Vor‑, Nach­na­me und Email-Adres­se. Übli­cher­wei­se macht man den Absen­der freund­lich auf sein Miß­ge­schick auf­merk­sam und läßt es dar­auf beruhen.

Ihr ist das auch passiert

Eine Mit­ar­bei­te­rin eines baye­ri­schen Han­del­un­ter­neh­mens hat­te weni­ger Glück. Sie schrieb eine sol­che Email an Kun­den des Unter­neh­mens. Kur­zer Inhalt, net­te Ges­te. Jedoch lei­der stan­den vor dem eigent­li­chen Text (hal­be DIN A4 Sei­te) über neun (9) Sei­ten Email-Adres­sen im Klar­text. Einem oder meh­re­ren Emp­fän­gern miß­fiel dies und der Stein des Ansto­ßes wur­de an die zustän­di­ge baye­ri­sche Lan­des­da­ten­schutz­be­hör­de weitergeleitet.

Der ewi­ger Mahner

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (kurz BayL­DA) hat in der Ver­gan­gen­heit bereits mehr­fach auf die daten­schutz­recht­li­che Unzu­läs­sig­keit eines sol­chen Vor­gangs hin­ge­wie­sen. Name plus Email-Adres­se sind per­so­nen­be­zo­ge­ne Daten im Sin­ne des Bun­des­da­ten­schutz­ge­set­zes (BDSG). Eine Über­mitt­lung (nichts ande­res stellt eine Email dar) ist daher nur zuläs­sig, wenn der Betrof­fe­ne (also der eigent­li­che Email-Inha­ber) expli­zit in die Über­mitt­lung an Drit­te schrift­lich ein­ge­wil­ligt hat oder eine gesetz­li­che Grund­la­ge vor­liegt. Bei­des ist im Fal­le einer sol­chen Pan­ne sicher nicht der Fall. 

Die Ver­wen­dung des offe­nen Email-Ver­tei­lers (also das Ein­tra­gen der Emp­fän­ger in das AN:/TO: Feld) stellt somit einen Daten­schutz­ver­stoß dar. Auf­grund der Men­ge der betrof­fe­nen Email-Adres­sen sah das BayL­DA von einem rei­nen Ver­weis auf die recht­li­che Unzu­läs­sig­keit ab. Statt­des­sen wur­de ein Buß­geld ver­hängt, das nun nach Ver­strei­chen der Wider­spruchs­frist rechts­wirk­sam gewor­den ist.

Wer zahlt?

In die­sem kon­kre­ten Fall wur­de das Buß­geld gegen die Mit­ar­bei­te­rin ver­hängt. Ob der Arbeit­ge­ber für Sie ein­springt, ist nicht bekannt.

Das BayL­DA teilt jedoch mit, daß es in einem ähn­li­chen Fall in Kür­ze zu einem Buß­geld gegen ein ande­res Unter­neh­men kom­men wird. Da hier die Mit­ar­bei­ter sei­tens der Unter­neh­mens­leis­tung nicht oder nicht aus­rei­chend für das The­ma sen­si­bi­li­siert wur­den, hat nun das Unter­neh­men selbst für den Faux­pas mit dem offe­nen Email-Ver­tei­ler geradezustehen.

Auf­klä­rung ist Pflicht

Um sol­che Vor­fäl­le von vorn­her­ein zu ver­mei­den und das Ein­tritts­ri­si­ko zu sen­ken, soll­ten Sie Ihre Mit­ar­bei­ter regel­mä­ßig für die­ses The­ma sen­si­bi­li­sie­ren. Ger­ne kön­nen Sie hier­für die­sen Blog­bei­trag einsetzen.

Was ist zu beachten?

Wei­sen Sie dar­auf hin, sol­che Rund­mails stets über das Feld BCC, also Blind Car­bon Kopie zu adre­ßie­ren. Die Nut­zung von TO: und CC: (Car­bon Copy) wird stets den glei­chen recht­li­chen Sach­ver­halt mit allen Kon­se­quen­zen aus­lö­sen. Bei klei­ne­ren falsch genutz­ten Ver­tei­lern kann es bei einer Ver­war­nung blei­ben, das ist jedoch nicht garantiert.

Hier fin­den Sie den gan­zen Bei­trag des BayL­DA vom 28.06.2013.

Apo­the­ken­re­chen­zen­trum ver­kauft Pati­en­ten­da­ten an Markt­for­schungs­un­ter­neh­men mit unzu­rei­chen­der Verschlüsselung

War­um in die Fer­ne schwei­fen, wo die Daten­pan­ne liegt so nah …

Wer braucht schon einen NSA Abhör­skan­dal aus den USA, wenn vor der eige­nen Haus­tür laut Thi­lo Wei­chert, Lei­ter des Unab­hän­gi­gen Lan­des­zen­trums für Daten­schutz Schles­wig-Hol­stein (ULD), “einer der größ­ten Daten­skan­da­le der Nach­kriegs­zeit” stattfindet.

Was ist passiert?

Das betrof­fe­ne Apo­the­ken­re­chen­zen­trum ver­kauf sei­ne Daten u.a. an das US Unter­neh­men IMS Health.Dieser Kon­zern ver­folgt nach Anga­ben von Spie­gel Online die Krank­hei­ten welt­weit von mehr als 300 Mil­lio­nen Pati­en­ten und von cir­ca 42 Mil­lio­nen gesetz­lich Kran­ken­ver­si­cher­ten aus Deutsch­land. Ein­ge der soge­nann­ten “Pati­en­ten­kar­rie­ren” sind bis 1992 zurück verfolgbar.

Ist das über­haupt zulässig?

Gene­rell ist die Wei­ter­ga­be von Rezept­da­ten in aus­rei­chend ver­schlüs­sel­ter Form (also ohne Rück­führ­bar­keit auf den betrof­fe­nen Pati­en­ten) zuläs­sig. Für ankau­fen­de Phar­ma­un­ter­neh­men sind die­se Infor­ma­tio­nen auch in anony­mi­sier­ter Form noch aus­sa­ge­kräf­tig genug.

Die Beto­nung liegt auf “aus­rei­chend verschlüsselt”

Im kon­kre­ten Fall ist die­ser Schlüs­sel ledig­lich 64-stel­lig und läßt sich, wie Spie­gel Online berich­tet, nach vor­lie­gen­den Doku­men­ten rela­tiv ein­fach auf die ursprüng­li­che Ver­si­cher­ten­num­mer zurück­rech­nen. Zusätz­lich wer­den noch Alter und Geschlecht über­tra­gen. Die unzu­rei­chen­de Ver­schlüs­se­lung birgt das Risi­ko einer Zurück­ver­fol­gung bis hin zu der Infor­ma­ti­on, wel­che Arzt­pra­xis wel­chem Pati­en­ten wel­ches Medi­ka­ment ver­ord­net hat. Das Ver­triebs­con­trol­ling von Phar­ma­un­ter­neh­men wür­de dies freu­en. Lie­ße sich doch so sehr kon­kret nach­voll­zie­hen, ob die ste­ti­gen Außen­dienst­be­su­che den behan­deln­den Arzt auch zum häu­fi­ge­ren Ver­schrei­ben der ange­prie­se­nen, eige­nen Pro­duk­te verleiten.

Thi­lo Wei­chert hofft nun, daß die Apo­the­ken Ihren Dienst­leis­ter auch ohne Gerichts­ver­fah­ren zur aus­rei­chen­den Ver­trau­lich­keit motivieren.

Wie geben Sie im Unter­neh­men eigent­lich Ihre Daten wei­ter? Ihr Daten­schutz­be­auf­trag­ter prüft die recht­li­che Zuläs­sig­keit und emp­fiehlt die pas­sen­de Lösung. Sie haben noch kei­nen Daten­schutz­be­auf­trag­ten? Dann spre­chen Sie uns an. Mög­li­cher­wei­se unter­lie­gen Sie sogar der gesetz­li­chen Bestellpflicht.

Nota­ri­at in Ost­fil­dern (Baden-Würt­tem­berg) ent­sorgt Unter­la­gen im nor­ma­len Altpapierbehälter

Einem Notar soll­ten die The­men Schwei­ge­pflicht und Daten­schutz nicht unbe­kannt sein. Doch nicht nur auf­grund zahl­rei­cher gesetz­li­cher Vor­schrif­ten, son­dern auch auf­grund des gesun­den Men­schen­ver­stands soll­te klar sein, das nota­ri­el­le Akten und Unter­la­gen nichts im nor­ma­len Papier­ab­fall zu suchen haben.

In Ost­fil­dern im Kreis Ess­lin­gen, unweit von Stutt­gart, sah man dies wohl anders. Anwoh­ner eines Büro- und Wohn­haus­kom­ple­xes staun­ten nicht schlecht über ihren Fund. Sta­pel­wei­se Doku­men­te eines vor Ort ansäs­si­gen staat­li­chen Nota­ri­ats lagen in einem öffent­lich zugäng­li­chen Papier­müll­be­häl­ter, so mel­det es der Schwarz­wäl­der Bote in sei­ner Online-Aus­ga­be am 07.08.2013. Nach­lass­un­ter­la­gen, Tes­ta­men­te, Grund­buch­aus­zü­ge und Erb­ver­trä­ge in Kopie oder als Aus­druck für jeder­mann zugreif­bar. Als Höhe­punkt befand sich dar­un­ter eine beglau­big­te Abschrift einer Nach­lass­an­ge­le­gen­heit mit offi­zi­el­lem Siegel.

Das Nota­ri­at schiebt den schwar­zen Peter auf die Stadt. Die­se sei schließ­lich für die daten­schutz­kon­for­me Ent­sor­gung zustän­dig. Das weist deren Spre­che­rin ent­schie­den zurück. Man stel­le zwar die Räum­lich­kei­ten, wie es das Lan­des­ge­setz vor­sä­he, sei aber defi­ni­tiv nicht für die Ver­nich­tung von Akten des Nota­ri­ats zuständig.

Unab­hän­gig davon, was nun davon stimmt, bleibt die Vor­ge­hens­wei­se des Nota­ri­ats zu hin­ter­fra­gen, die Akten an einem frei zugäng­li­chen öffent­li­chen Ort zu “lagern”. Ver­lie­rer im Kom­pe­tenz­ge­ran­gel sind mal wie­der Daten­schutz und die Betrof­fe­nen, trotz ein­schlä­gi­ger Vorschriften.

Übri­gens: Ihr Daten­schutz­be­auf­trag­ter kann Sie bei der Pla­nung und Umset­zung rechts­kon­for­mer Ent­sor­gungs- und Lösch­ver­fah­ren unter­stüt­zen. Sie haben noch kei­nen Daten­schutz­be­auf­trag­ten? Wir infor­mie­ren Sie ger­ne.

 

 

Ever­no­te erfolg­reich gehackt — Mil­lio­nen Nut­zer­da­ten und Pass­wör­ter abgegriffen

Der cloud­ba­sier­te Notiz­ser­vice Ever­no­te wur­de Opfer eines erfolg­rei­chen Hacker­an­griff. Dies ver­laut­bar­te das Unter­neh­men ges­tern auf sei­nem Blog.

 

Lapi­dar wird über den Zugriff und das Aus­le­sen von ca. 50 Mil­lio­nen Nut­zer­pro­fi­len samt Pass­wör­tern berich­tet. Letz­te­re waren ver­schlüs­selt und bei Ever­no­te ist man sich ziem­lich sicher, das eine Ent­schlüs­se­lung nicht mög­lich sei. Den­noch hat das Unter­neh­men alle Pass­wör­ter zurück­ge­setzt. Sobald sich ein Nut­zer ein­loggt, wird er zur Ver­ga­be eines neu­en Pass­worts auf­ge­for­dert. Eine wei­te­re Auf­klä­rung des Nut­zers über das War­um und Wie­so unter­läßt Ever­no­te an die­ser Stel­le. Die Grün­de muss der Nut­zer selbst im Web recherchieren.

Nach Anga­ben von Ever­no­te sei­en kei­ne Zah­lungs­da­ten von Pre­mi­um-Nut­zern betrof­fen gewesen.

Update 03.03.2013, 15 Uhr: Mitt­ler­wei­le ver­sen­det das Unter­neh­men Emails an die Account-Inha­ber mit einer ent­spre­chen­den Erklä­rung des Vor­falls. Es han­delt sich dabei um eine Über­set­zung des ein­gangs erwähn­ten Blogbeitrags.

250000 Twit­ter Accounts gehackt

Der Kurz­nach­rich­ten­dienst Twit­ter ver­mel­det einen Angriff. 250000 Nut­zer­kon­ten, deren Nut­zer­na­men und Kenn­wör­ter sind betrof­fen. Twit­ter hat die betrof­fe­nen Accounts gesperrt, die Nut­zer infor­miert und zur Pass­wor­t­än­de­rung aufgefordert.

https://www.golem.de/news/kurznachrichtendienst-250–000-twitter-kontos-gehackt-1302–97335.html

Sony wehrt sich gegen Geld­stra­fe wegen Hacker­an­griffs auf sein Play­sta­ti­on Network

2011 ging das Ereig­nis als bis­her größ­te Daten­pan­ne der Geschich­te durch die Medi­en (wir berich­te­ten). Hackern gelang es, über 75 Mil­lio­nen Kun­den­da­ten aus dem Sony Netz­werk zu ent­wen­den, dar­un­ter Namen, Anmel­de­da­ten und Zah­lungs­an­ga­ben. In wei­te­ren nach­fol­gen­den Hacker-Atta­cken wur­den wei­te­re Mil­lio­nen Daten­sät­ze ent­wen­det mit teil­wei­se noch aus­führ­li­che­ren Nutzerangaben.

Das Kri­sen­ma­nage­ment des Kon­zern war durch­aus als sub­op­ti­mal ein­zu­stu­fen — sie­he Bericht. Auf­grund des Fir­men­sit­zes in Japan wog man sich jedoch in Sicher­heit vor der Ver­fol­gung durch die Schutz­be­hör­den. Doch damit ist nun Schluss. Was nicht nur zahl­rei­che Poli­ti­ker und Daten­schüt­zer, son­dern auch gera­de Kun­den von Sony gefor­dert haben, hat die bri­ti­sche Daten­schutz­be­hör­de nun in die Tat umge­setzt. Sie ver­häng­te eine Geld­stra­fe in Höhe von 300.000 Euro, gegen das Unter­neh­men. Begrün­dung: Wer für so vie­le sen­si­blen Daten mit Miß­brauchs­po­ten­ti­al ver­ant­wort­lich ist, muss dem Schutz die­ser Daten obers­te Prio­ri­tät einräumen.

Sony hat Wider­stand gegen die Stra­fe ange­kün­digt, schließ­lich sei man “Opfer” einer kri­mi­nel­len Atta­cke gewor­den. Das Unter­neh­men blen­det dabei aus, dass es selbst erst durch Män­gel in der IT Infra­struk­tur (schwa­che Pass­wör­ter, feh­len­de Sicher­heits­patches) die Mög­lich­keit für die­se mehr­fa­chen Angrif­fe geschaf­fen hat. The­ma ver­fehlt, Sechs, setzen!

Fra­gen Sie doch Ihren Datenschutzbeauftragten

Ihr Daten­schutz­be­auf­trag­ter muss kein IT Pro­fi sein. Er wird jedoch aus­rei­chend Fach­wis­sen mit­brin­gen, um unter ande­rem auch auf Sicher­heits­lü­cken durch schwa­che Pass­wör­ter oder nicht zeit­na­he /​ feh­len­de Sicher­heits­patches kon­se­quent hin­zu­wei­sen. Lösun­gen las­sen sich meist unkom­pli­ziert durch tech­ni­sche und /​ oder orga­ni­sa­to­ri­sche Maß­nah­men her­bei­füh­ren und das Schutz­ni­veau wei­ter erhö­hen. Sei­en Sie schlau­er und spre­chen Sie mit Ihrem Daten­schutz­be­auf­trag­ten. Ver­mei­den Sie Daten­pan­nen und die damit ver­bun­de­nen Buß­geld­ri­si­ken. Sie haben kei­nen Daten­schutz­be­auf­trag­ten? Wir hel­fen ger­ne weiter.

Sen­si­ble Pati­en­ten­da­ten in Kli­nik ver­schwun­den — Datenpanne

DIE WELT berich­tet heu­te nach­mit­tag online von einer Daten­pan­ne in zwei Kli­ni­ken in Baden-Württemberg:

 Siche­rungs­bän­der bei Ziga­ret­ten­pau­se verbummelt

Der zustän­di­ge IT-Mit­ar­bei­ter ist wie jeden Tag mit den Siche­rungs­bän­dern auf dem Weg vom Ser­ver­raum zum Tre­sor. Unter­wegs hält er an einer Ram­pe für eine kur­ze Rauch­pau­se an, legt die Bän­der auf einem Tisch ab. Nach der Pau­se ging er wie­der an sei­ne Arbeit, jedoch ohne die Siche­rungs­bän­der. Als er sei­nen Feh­ler nach eini­ger Zeit bemerk­te und an den Pau­sen-Ort zurück­kehr­te, waren die Siche­rungs­bän­der ver­schwun­den. Erschwe­rend kommt hin­zu, dass der Mit­ar­bei­ter den Vor­fall erst eine Woche spä­ter mel­de­te und auch das inter­ne Siche­rungs­kon­troll­sys­tem das Ver­schwin­den der Bän­der nicht auf­ge­deckt hat.

Sen­si­ble Pati­en­ten­da­ten betroffen

300.000 Daten­sät­ze sol­len die Bän­der umfasst haben. Dar­un­ter voll­stän­di­ge Pati­en­ten­ak­ten, Labor­da­ten, Befun­de, Arzt­brie­fe und Schrift­ver­kehr bis zurück ins Jahr 1996.

Daten­schutz­be­hör­de spricht von gra­vie­ren­dem Vorfall

Die Kli­nik­lei­tung beteu­ert, ledig­lich die Arzt­brie­fe kön­nen aus­ge­le­sen wer­den. Für alle wei­te­ren Daten sei spe­zi­el­le Hard- und Soft­ware not­wen­dig. Wei­te­re Aus­füh­run­gen über eine zusätz­li­che Ver­schlüs­se­lung wur­den nicht getä­tigt. Auf­grund der Sen­si­bi­li­tät der Daten und der erschre­ckend hohen Men­ge spricht der Lan­des­da­ten­schutz­be­auf­trag­te von Baden-Würt­tem­berg, Jörg Kling­beil von einem gra­vie­ren­den Vorfall.

§ 42a BDSG Infor­ma­ti­ons­pflicht bei unrecht­mä­ßi­ger Kennt­nis­er­lan­gung von Daten

Lt. Kling­beil hat die Kli­nik nicht gegen § 42a BDSG ver­sto­ßen. Die Daten­pan­ne, wur­de wenn auch ver­spä­tet, kor­rekt gemel­det und durch Anzei­gen in über­re­gio­na­len Zei­tun­gen bekannt gemacht. Dies geschah zwar mit Ver­zö­ge­rung, jedoch auf Bit­ten der Staats­an­walt­schaft, um die Ermitt­lun­gen zu die­sem Zeit­punkt nicht zu gefähr­den. Alles wei­te­re müs­se jetzt geklärt werden.

Bliz­zards batt​le​.net gehackt

Am 04. August 2012 wur­de die Spie­le­platt­form batt​le​.net des Anbie­ters Bliz­zard gehackt. Betrof­fen sind neben der Email-Adres­se (alle Regio­nen außer Chi­na) auch Sicher­heits­ab­fra­gen (zumin­dest von Spie­le-Ser­vern aus Nord­ame­ri­ka). Am 09.08.2012 stell­te Bliz­zard eine offi­zi­el­le Stel­lung­nah­me ins Netz. Mit erhöh­tem Spam­auf­kom­men für Nut­zer von batt​le​.net ist zu rech­nen. Bliz­zard warnt wei­ter­hin vor mög­li­chen Phis­hing-Emails und rät zum zeit­na­hen Wech­sel der Zugangs­pass­wör­ter (Ser­ver Nordamerika).

Die mobile Version verlassen