X

SSD mit tausenden Daten des Landratsamts Coburg bei Ebay verkauft

Über Umwege ist mindestens eine bei einer Behörde als defekt ausge­musterte SSD mit samt sensiblen Daten bei Ebay gelandet. Der Vorfall zeigt, welche Tücken die IT-Verträge der öffentlichen Hand beinhalten - und wie sich dann Fehler an Fehler reihte.
Niklas Bildhauer (CC BY-SA 2.0)
21.12.2019  12:21 Uhr
Der Vorfall ereignete sich bereits im Oktober. Ein Mann suchte bei Ebay nach einer günstigen SSD und wurde fündig: Ein Unternehmen bot insgesamt 19 SSDs von Silicon Power an, die laut der Beschreibung neuwertig sein sollten und für nur 30 Euro pro Stück mit 256 GB als ein echtes Schnäppchen erschienen. Es sollte sich demnach um Kundenretouren handeln. Was er dann aber zugesendet bekam, machte ihn stutzig, denn die SSD wies nicht nur deutliche Gebrauchsspuren auf, sie war auch noch voller fremder Daten - woraufhin er sich an das Magazin c't wandte.

Das Puzzle fügt sich langsam zusammen

Dort fügten die Redakteure das Puzzle zusammen und meldeten schließlich den Fall bei den Datenschutzbehörden und den betroffenen öffentlichen Ämtern.

Es stellte sich heraus, dass der Mann bei Ebay eine als defekt ausgemusterte SSD erworben hatte, die zuvor bei der Kfz-Zulassungsstelle Coburg zum Einsatz kam und auf die auch eine Mitarbeiterin des Jugendamts des Landratsamts Coburg Zugriff hatte. Mit Hilfe eines Daten­rett­ungs­programm gelang es c't ohne Schwierig­keiten auf über zehntausend Datensätze zuzugreifen. Laut c't waren die Mitarbeiter dabei unter anderem sehr unbedarft mit Zugangs­daten und Pass­wörtern umgegangen. So fanden die Redakteure die Zugriffs­daten für das europäische Fahrzeug- und Führerscheininformationssystem EUCARIS, das Zentralregister des Kraftfahrt-Bundesamtes REGINA, die eVB-Zugangsdaten, die DEKRA-Gutachten-Datenbank, die Rechtsdatenbank Wolterskluwe-online und andere Dienste.

Rund 12.750 sensible Dokumente

Zudem waren über Outlook 2016 neben der internen Behörden­kommunikation, auch Nach­richten und Mail-Anhänge mit Bürger­daten zu finden. Darunter Voll­machten, Ver­sicherungs­daten, Handels­register­auszüge, Zu­lass­ungen, Still­legungs­ver­füg­ungen, Buß­geld­be­nach­rich­tig­ungen, Zwangs­versteigerungen und andere amtliche Zwangs­verfahren. Daneben gab es auch ähnliche Kommunikation vom Jugendamt, da eine Mitarbeiterin wie sich herausstellte sowohl für die Zulassungs­stelle als auch für das Jugendamt gearbeitet hatte. Daher entdeckte man in den E-Mails auch Daten zu Be­treu­ungs­verhältnissen, Heim­unter­bring­ungen und Unterhalts­fragen.

"So etwas gehört unter keinen Umständen unverschlüsselt auf den lokalen PC eines Verwaltungsmitarbeiters und natürlich erst recht nicht auf eine bei eBay verkaufte SSD", schreibt c't. Auf der SSD fand c't dennoch aber gut 12.750 solcher sensiblen Dokumente.

Die Antwort auf die Frage, wie die Daten dann zu Ebay kamen, ist kompliziert. Bei der c't kann man den Fall und die Spurensuche genau nachlesen - es gab dabei viele falsche Fährten und Vermutungen und auch fehlende Dokumentationen, sodass der Fall gar nicht so einfach komplett aufgeklärt werden kann.

 Millionenschäden durch Datenlecks
Infografik: Millionenschäden durch Datenlecks

Es begann mit einer fehlerhaften SSD beim Landratsamt Coburg, die von einem externen Dienstleister ausgetauscht wurde. Nach Angaben der Behördenleitung wurde auch eine Löschungsbescheinigung für die mitgenommene defekte SSD ausgestellt. Der Dienstleister sendete die SSD dann zwecks Prüfung von Garantieleistungen an den Distributor, zuvor sollten aber die Daten mit einem speziellen Festplatten-Dupliziersystem, dem Image MASSter 4000PRO, gelöscht werden. Das dabei verwendete Löschverfahren WhipeOut DoD wurde vom US-Verteidigungsministerium entwickelt und überschreibt Daten mehrfach. Allerdings, so c't, ist dieses Verfahren für SSDs gar nicht geeignet. "Für hochsensible Daten auf SSDs kommt deshalb nur die physikalische Zerstörung des Laufwerks infrage."

Eine solche Vernichtung, der sogenannte "Festplattenverwurf", erfolgte aber nicht - wohl unter anderem nicht, weil die Behörde das nicht explizit mit dem Dienstleister vereinbart hatte. Die SSD fand dann über verschiedene Umwege schließlich zu einem Ebay-Händler, der jetzt aber bestreitet, genau diesen mit Daten vollgepackten Datenträger verkauft zu haben. Fehler sind damit an mehreren Stellen gemacht worden.

Mittlerweile hat die Zentralstelle Cybercrime Bayern das Ermittlungsverfahren von der Kriminalpolizei Coburg übernommen. Weitere Details sind noch nicht bekannt.
Verwandte Themen
eBay
☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2024 WinFuture