Zum Inhalt springen

Panne

Behör­de zu leicht­sin­nig — Daten­klau in Land­rats­amt Bad Hersfeld

Guckst Du …

Da staun­ten die Mit­ar­bei­ter des Bad Hers­fel­der Land­rat­amts nicht schlecht, als sie am 01.02.2011 zur Arbeit erschie­nen. Kein Inter­net, kei­ne Emails, kein Dru­cken. Die Bild­schir­me der Kfz-Zulas­sungs­stel­le blie­ben schwarz, die Geld­au­to­ma­ten der Sozi­al­kas­se out of order.

Der Feh­ler steckt im Detail …

Wobei besag­tes Detail sich dann doch als etwas grö­ßer her­aus­stell­te — es fehl­ten 10 der 20 Ser­ver im Rech­ner­raum. Ein­bruch, jedoch wur­den kei­ne wei­te­ren Ver­mö­gens­wer­te ver­misst. Das ser­ver­sei­ti­ge Alarm­sys­tem war wenig durch­dacht. Es lös­te ledig­lich Email-Alarm im inter­nen Netz aus. Da nachts jedoch kein Mit­ar­bei­ter vor dem Bild­schirm weilt, lief der Alarm ins Lee­re. Die Die­be schul­ter­ten also gleich Ser­ver samt Alarm­sys­tem und zogen unge­stört von dannen.

Wir haben es ja schon immer gewußt …

Pein­lich: die ermit­teln­de Kri­mi­nal­po­li­zei wuss­te um die unge­nü­gen­den Sicher­heits­maß­nah­men und hat die Behör­de in der Ver­gan­gen­heit mehr­mals auf das Risi­ko hin­ge­wie­sen. Was ist pas­siert? Nichts. Nach wie vor bestand die Siche­rung des Ser­ver­raums aus Holz­tü­ren mit ein­fa­chen Schlössern.

Ja aber …

Was ging neben der Hard­ware ver­lo­ren? Ein Quer­schnitt an Daten, die in einem Land­rats­amt anfal­len. Die Behör­de ver­such­te zu beschwich­ti­gen, die per­so­nen­be­zo­ge­nen Daten und Vor­gän­ge auf den Ser­vern sei­en alle verschlüsselt.

Aus­sit­zen …

Wie sicher die Schlüs­sel waren, wel­che Daten nun genau ver­lo­ren gin­gen und wel­cher finan­zi­el­le Scha­den durch den Ein­bruch dem Steu­er­zah­ler ent­stan­den sei, woll­te die ct in einem Inter­view erfah­ren. Die Behör­de ver­wei­ger­te die Auskunft.

Und nun …

Bleibt nur die Emp­feh­lung, beson­ders an die Ver­ant­wort­li­chen des Bad Hers­fel­der Land­rat­amts, aber auch an jeden für die IT-Sicher­heit Ver­ant­wort­li­chen in Unter­neh­men sich aktiv mit dem sog. BSI Grund­schutz-Kata­log aus­ein­an­der­zu­set­zen. Die­ser hält zahl­rei­che Prüf- und Schutz­maß­nah­men zur Abwehr sol­cher Vor­fäl­le parat.

Daten­skan­dal: Pati­en­ten­da­ten im Altpapier

Das Skan­da­lö­se

Der Pfle­ge­dienst der Arbei­ter­wohl­fahrt (AWO) in Wedel im Kreis Pin­ne­berg zeigt, wie man sen­si­ble, per­so­nen­be­zo­ge­ne Daten bes­ser nicht ent­sorgt — näm­lich via Alt­pa­pier­con­tai­ner. Ein Leser der sh:z fand die­se Daten neben der Ent­sor­ge­stel­le und lei­te­te sie an die Zei­tung wei­ter.  Neben Namen, Anschrif­ten und Tele­fon­num­mern gaben die Unter­la­gen auch Infor­ma­tio­nen zu den Krank­heits­bil­dern der Betrof­fe­nen wieder.

Die Rat­lo­sig­keit

Ursprüng­lich gedacht waren die Lis­ten für die Pfle­ge­dienst­mit­ar­bei­ter, die übli­cher­wei­se die Haus­be­su­che bei den Pfle­ge­be­dürf­ti­gen durch­füh­ren. Wie die­se nun ins Alt­pa­pier statt in die daten­schutz­ge­rech­te Ent­sor­gung gelan­gen konn­ten, gibt der Pfle­ge­dienst­lei­te­rin Rät­sel auf.

Die Reak­ti­on

Nun sol­len alle Mit­ar­bei­ter auf das Daten­ge­heim­nis und zur Ver­schwie­gen­heit ver­pflich­tet wer­den. Neue Pati­en­ten­lis­ten wer­den zukünf­tig erst her­aus­ge­ge­ben wer­den, wenn die alten Lis­ten im Pfle­ge­dienst­bü­ro per Schred­der ent­sorgt wurden.

Die Prä­ven­ti­on

Übli­cher­wei­se soll­te die Ver­pflich­tung auf das Daten­ge­heim­nis bereits bei der Ein­stel­lung und /​ oder im Rah­men regel­mä­ßi­ger Daten­schutz­sen­si­bi­li­sie­run­gen /​ ‑schu­lun­gen gesche­hen und nicht erst nach einer Daten­pan­ne. Fra­gen Sie Ihren Daten­schutz­be­auf­trag­ten, wie Sie in Ihrem eige­nen Unter­neh­men sol­chen Daten­skan­da­len vor­beu­gen kön­nen. Es dro­hen nicht nur ein Image­ver­lust, son­dern auch Buß­gel­der durch die Lan­des­da­ten­schutz­be­hör­den. Sie haben noch kei­nen Daten­schutz­be­auf­trag­ten? Dann spre­chen Sie mich an. Viel­leicht besteht soagr bereits eine Bestell­pflicht für Ihr Unternehmen.

Brau­ne Daten­pan­ne — Über 60.000 Emails der NPD öffent­lich — NaziLeak

tages​schau​.de, SPIEGEL, taz und zahl­rei­che wei­te­re Online- und Print­me­di­en beka­men über 60.000 inter­ne Emails der NPD zuge­spielt. Das ist das größ­te bis­lang bekannt gewor­de­ne Daten­leck die­ser Partei.

Tie­fe Ein­bli­cke in Mit­glie­der­or­ga­ni­sa­ti­on, Ver­wal­tung, Finanz­ge­ba­ren, aber auch in den teil­wei­se rüden, wenig “kame­rad­schaft­li­chen” Umgang unter­ein­an­der wur­den öffent­lich. Von einem Ver­stoß gegen das Par­tei­en­gesetz bis hin zur Zweck­ent­frem­dung von Par­tei­mit­teln, die Band­brei­te ist lt. tages​schau​.de weit gefasst. Exper­ten unter­such­ten die vor­lie­gen­den Daten und fan­den kei­ne Hin­wei­se auf Mani­pu­la­tio­nen. Am Wochen­en­de ließ ein Spre­cher der Par­tei im TV noch Gegen­tei­li­ges verlautbaren.

Stadt­ver­wal­tung ver­hö­kert Ein­woh­ner­da­ten auf Flohmarkt

Wie shz​.de online berich­tet, hat die Stadt­ver­wal­tung von Glücks­burg Haus­putz gehal­ten. Anlass war der Umzug in neue Räum­lich­kei­ten. Da muss­te die alte IT-Infra­struk­tur neu­en Gerä­ten wei­chen. Was lag da näher, als einen Floh­markt zu orga­ni­sie­ren und Ser­ver samt Fest­plat­ten zu verkaufen.

Der Käu­fer, der nach eige­nen Anga­ben rund 30 EUR je gebrauch­ter Fest­plat­te bezahlt hat­te, staun­te nicht schlecht. Auf rund 15 der schnell dre­hen­den Magen­t­trä­ger fand er lt. shz​.de Steu­er­be­schei­de, Unter­neh­mens­kon­zes­sio­nen, Pro­to­kol­le, Bür­ger­an­schrei­ben und — für die Ver­wal­tung nicht min­der pein­lich — Doku­men­te zum umstrit­te­nen Geneh­mi­gungs­ver­fah­ren eines Spaßbades.

Glück­li­cher­wei­se mel­de­te sich der Käu­fer auf eige­ne Initiat­ve bei den Behör­den. Der zustän­di­ge Daten­schutz­be­auf­trag­te für Schles­wig-Hol­stein­ließ die Gerä­te mitt­ler­wei­le abho­len und prü­fen. Er bestä­tig­te das Vor­han­den­sein ver­trau­li­cher Doku­men­te. Er stuft den Vor­gang nicht als pure indi­vi­du­el­le Nach­läs­sig­keit ein, son­dern spricht  von einem Orga­ni­sa­ti­ons­ver­schul­den der Stadt.

Mitt­ler­wei­le hat die Staats­an­walt­schaft Flens­burg die Ermitt­lun­gen auf­ge­nom­men, wie bei WELT Online zu lesen ist.

Prä­ven­ti­on für sol­che Pan­nen schaf­fen klar defi­nier­te Arbeits­ab­läu­fe und Anwei­sun­gen für die daten­schutz­kon­for­me Aus­mus­te­rung von IT-Alt­ge­rä­ten. Ihr Daten­schutz­be­auf­trag­ter nimmt sich übli­cher­wei­se die­ses nicht unge­wöhn­li­chen The­mas an. Sie haben kei­nen? Dann spre­chen Sie mich an.

Ham­bur­ger Spar­kas­se (HASPA) zahlt 200.000 Euro Buß­geld wegen Datenschutzverstoß

Nicht lan­ge gefa­ckelt hat der Ham­bur­ger Daten­schutz­be­auf­trag­te Johan­nes Cas­par und die Ham­bur­ger Spar­kas­se zur Zah­lung eines Buß­gelds in Höhe von 200.000 EUR verdonnert.

Die “Has­pa” hat ihren Finanz­be­ra­tern im Außen­dienst zwi­schen 2005 und 2010 sehr weit­rei­chen­den Zugriff auf die Finanz­in­for­ma­tio­nen ihrer Kun­den ermög­licht, teil­wei­se ohne Ein­wil­li­gung der Betrof­fe­nen. Hin­zu kam die Klas­si­fi­zie­rung der Has­pa-Kun­den nach Cha­rak­t­er­pro­fi­len unter Zuhil­fe­nah­me von Kon­ten­be­we­gungs­da­ten und wei­te­ren Anga­ben — ohne Kennt­nis der Betroffenen.

Mil­dernd hat sich der Umstand aus­ge­wirkt, daß die Has­pa eine zügi­ge Auf­klä­rung der Sach­ver­hal­te ermög­licht hat.

  • Zur Pres­se­mel­dung des Ham­bur­ger Datenschutzbeauftragten

Daten­pan­nen reis­sen nicht ab: 150.000 Kun­den­da­ten­sät­ze von Schle­cker via Inter­net einsehbar

Auf­grund der fort­wäh­ren­den Skan­da­le und Pan­nen soll­te man mei­nen, das The­ma Daten­schutz und Daten­si­cher­heit sei bei den Ver­ant­wort­li­chen ange­kom­men. Die fort­wäh­ren­den Pan­nen der letz­ten Wochen, egal ob klein oder groß, spre­chen da eine ganz ande­re Spra­che. Der heu­ti­ge Auf­ma­cher in der Pres­se wur­de von der bekann­ten Dro­ge­rie­ket­te Schle­cker verursacht.

Welt online berich­tet, eine inter­ne Daten­bank mit 150.000 Daten­sät­zen von Schle­cker-Kun­den mit Name, Anschrift, Geschlecht, Email und Kun­den­pro­fil war frei über das Inter­net ein­seh­bar. Zusätz­lich waren die Adres­sen von 7,1 Mio. Schle­cker-News­let­ter-Emp­fän­gern abruf­bar. Gro­ße Hür­den waren nicht zu über­win­den, von jedem nor­ma­len Gerät mit Inter­net-Anschluß soll der Zugriff mög­lich gewe­sen sein. Unter den betrof­fe­nen Kun­den befan­den sich u.a. das Finanz­mi­nis­te­ri­um, die Alli­anz, das Bun­des­ver­wal­tungs­ge­richt und der SPD-Parteivorstand.

Schle­cker teil­te mit, das Daten­leck sei mitt­ler­wei­le vom zustän­di­gen Dienst­leis­ter geschlos­sen wor­den. Man wol­le die betrof­fe­nen Kun­den “bald­mög­lichst umfas­send infor­mie­ren”. Wenn sich in den Kun­den­pro­fi­len Zah­lungs­an­ga­ben wie Bank­ver­bin­dung oder Kre­dit­kar­ten­da­ten befan­den, dann ist dies sicher kei­ne Ange­le­gen­heit des Wol­lens mehr, son­dern des Müs­sens - § 42 a BDSG Infor­ma­ti­ons­pflicht bei unrecht­mä­ßi­ger Kennt­nis­er­lan­gung von Daten. Auf der Home­page von Schle­cker sind zum Zeit­punkt der Erstel­lung die­ses Bei­trags noch kei­ne Infor­ma­tio­nen zur Daten­pan­ne im Haus ver­öf­fent­licht. Dabei ist davon aus­zu­ge­hen, daß die ver­lo­re­nen Daten sicher­lich bereits in ein­schlä­gi­gen Krei­sen kur­sie­ren und im Zwei­fel miß­braucht werden.

Der zustän­di­ge Lan­des­be­auf­trag­te Edgar Wag­ner dazu “Die Unter­neh­men müs­sen sich bewusst wer­den, dass mit der Nut­zung des Inter­net für Unter­neh­mens­zwe­cke Daten­schutz-Risi­ken ver­bun­den sind, die bereits bei der Pla­nung von Geschäfts­pro­zes­sen beach­tet wer­den müs­sen. Daten­schutz im Unter­neh­men ist kei­ne läs­ti­ge Pflicht, son­dern Vor­aus­set­zung für ein erfolg­rei­ches Agie­ren im Netz.”

Wie ist es um die The­men Daten­schutz und Daten­si­cher­heit in Ihrem Unter­neh­men bestellt? Spre­chen Sie mich an und sichern Sie sich fach­män­ni­sche Unter­stüt­zung und Bera­tung in die­sen Belangen.

Update vom 30.08.2010:

  • Wie “kon­struk­tiv” das Unter­neh­men mit die­ser Pan­ne umgeht, kön­nen Sie hier nach­le­sen: Schle­cker bie­tet Kun­den Gut­schein an — “All­ge­mei­ne Kulanz­ges­te” nach Daten­pan­ne — Die Dro­ge­rie­ket­te Schle­cker will ihre Kun­den wegen der ver­gan­ge­ne Woche bekannt gewor­de­nen Daten­pan­ne mit einem Ein­kaufs­gut­schein in Höhe von fünf Euro besänf­ti­gen. — The­ma verfehlt
Die mobile Version verlassen