Das Puzzle fügt sich langsam zusammen
Dort fügten die Redakteure das Puzzle zusammen und meldeten schließlich den Fall bei den Datenschutzbehörden und den betroffenen öffentlichen Ämtern.Es stellte sich heraus, dass der Mann bei Ebay eine als defekt ausgemusterte SSD erworben hatte, die zuvor bei der Kfz-Zulassungsstelle Coburg zum Einsatz kam und auf die auch eine Mitarbeiterin des Jugendamts des Landratsamts Coburg Zugriff hatte. Mit Hilfe eines Datenrettungsprogramm gelang es c't ohne Schwierigkeiten auf über zehntausend Datensätze zuzugreifen. Laut c't waren die Mitarbeiter dabei unter anderem sehr unbedarft mit Zugangsdaten und Passwörtern umgegangen. So fanden die Redakteure die Zugriffsdaten für das europäische Fahrzeug- und Führerscheininformationssystem EUCARIS, das Zentralregister des Kraftfahrt-Bundesamtes REGINA, die eVB-Zugangsdaten, die DEKRA-Gutachten-Datenbank, die Rechtsdatenbank Wolterskluwe-online und andere Dienste.
Rund 12.750 sensible Dokumente
Zudem waren über Outlook 2016 neben der internen Behördenkommunikation, auch Nachrichten und Mail-Anhänge mit Bürgerdaten zu finden. Darunter Vollmachten, Versicherungsdaten, Handelsregisterauszüge, Zulassungen, Stilllegungsverfügungen, Bußgeldbenachrichtigungen, Zwangsversteigerungen und andere amtliche Zwangsverfahren. Daneben gab es auch ähnliche Kommunikation vom Jugendamt, da eine Mitarbeiterin wie sich herausstellte sowohl für die Zulassungsstelle als auch für das Jugendamt gearbeitet hatte. Daher entdeckte man in den E-Mails auch Daten zu Betreuungsverhältnissen, Heimunterbringungen und Unterhaltsfragen."So etwas gehört unter keinen Umständen unverschlüsselt auf den lokalen PC eines Verwaltungsmitarbeiters und natürlich erst recht nicht auf eine bei eBay verkaufte SSD", schreibt c't. Auf der SSD fand c't dennoch aber gut 12.750 solcher sensiblen Dokumente.
Die Antwort auf die Frage, wie die Daten dann zu Ebay kamen, ist kompliziert. Bei der c't kann man den Fall und die Spurensuche genau nachlesen - es gab dabei viele falsche Fährten und Vermutungen und auch fehlende Dokumentationen, sodass der Fall gar nicht so einfach komplett aufgeklärt werden kann.
Infografik: Millionenschäden durch Datenlecks
Es begann mit einer fehlerhaften SSD beim Landratsamt Coburg, die von einem externen Dienstleister ausgetauscht wurde. Nach Angaben der Behördenleitung wurde auch eine Löschungsbescheinigung für die mitgenommene defekte SSD ausgestellt. Der Dienstleister sendete die SSD dann zwecks Prüfung von Garantieleistungen an den Distributor, zuvor sollten aber die Daten mit einem speziellen Festplatten-Dupliziersystem, dem Image MASSter 4000PRO, gelöscht werden. Das dabei verwendete Löschverfahren WhipeOut DoD wurde vom US-Verteidigungsministerium entwickelt und überschreibt Daten mehrfach. Allerdings, so c't, ist dieses Verfahren für SSDs gar nicht geeignet. "Für hochsensible Daten auf SSDs kommt deshalb nur die physikalische Zerstörung des Laufwerks infrage."
Eine solche Vernichtung, der sogenannte "Festplattenverwurf", erfolgte aber nicht - wohl unter anderem nicht, weil die Behörde das nicht explizit mit dem Dienstleister vereinbart hatte. Die SSD fand dann über verschiedene Umwege schließlich zu einem Ebay-Händler, der jetzt aber bestreitet, genau diesen mit Daten vollgepackten Datenträger verkauft zu haben. Fehler sind damit an mehreren Stellen gemacht worden.
Mittlerweile hat die Zentralstelle Cybercrime Bayern das Ermittlungsverfahren von der Kriminalpolizei Coburg übernommen. Weitere Details sind noch nicht bekannt.