Schlagwort: Datenpanne
29. Januar 2013
Bei der staatlichen Eisenbahngesellschaft Belgiens SNCB konnten Medienberichten zufolge Ende des vergangenen Jahres 1,4 Millionen Kundendaten über eine simple Suchanfrage bei Google abgerufen werden. Diese Datenbestände – bestehend aus Namen und E-Mail-Adressen sowie in einigen Fällen darüber hinaus Telefonnummern und Adressen – seien mehrere Wochen für jedermann zugänglich gewesen. Diese Datenpanne wurde erst durch eine Information der Bürgerrechtsorganisation EDRI öffentlich. Eine § 42a BDSG entsprechende Informationspflicht besteht in Belgien nicht.
1. Oktober 2012
Eine vermeintliche Datenpanne sorgt derzeit bei vielen Nutzern des Social-Networks Facebook für Verwirrung. Angeblich sollen unzählige eigentlich als private Nachrichten versendete Mitteilungen plötzlich in der Chronik der Jahre 2009 und 2010 aufgetaucht sein und seien somit für andere Nutzer öffentlich sichtbar. Doch Facebook dementierte eine Datenpanne. Bei den Meldungen handelt es sich nach Auskunft des Unternehmens um Meldungen, die von anderen Personen auf der alten Pinnwand hinterlassen wurden. Nach der Umstellung von Pinnwand auf Chronik sollen etliche Einträge, wenn auch nur vorläufig, nicht mehr zu sehen gewesen sein. Durch automatisierte Prozesse würden jedoch viele solcher Beiträge nach einiger Zeit wieder auftauchen.
Gegenüber der Online-Ausgabe des Nachrichtenmagazins Focus erklärte Facebook auf Nachfrage: „Eine kleine Anzahl an Nutzern zeigte sich besorgt, nachdem sie fälschlicherweise angenommen hatten, dass private Nachrichten auf ihrer Chronik aufgetaucht sind. Unsere Entwickler sind diesen Reports nachgegangen und haben herausgefunden, dass es sich bei den Posts um ältere Pinnwand-Einträge handelt.“ Nach Aussage von Facebook sei ein etwaiges Datenleck bereits aus technischen Umständen nicht möglich, da private Nachrichten und Chronik-Einträge technisch völlig unterschiedlich behandelt würden. Hinzu kommt nach Ansicht von Facebook die veränderte Wahrnehmung und Nutzung der User. Diese wären inzwischen erheblich sensibler was den Umgang mit öffentlich einsehbaren Chronik-Einträgen im Verhältnis zur privaten Nachricht angeht.
3. August 2012
Aus einer Veröffentlichung in dem firmeneigenen Blog des Cloud-Anbieters Dropbox geht hervor, dass aus dem Account eines Mitarbeiters Kundendaten durch unbekannte Angreifer entwendet werden konnten. Bekannt wurde der “Diebstahl”, als im Anschluss an diesen Mitte Juli die aus dem Dokument mit den Kundendaten entnommenen E-Mail Adressen vermehrt mit Spam-Mails belästigt wurden. Noch unklar ist, an wie viele E-Mail Adressen die Angreifer auf diese Weise gelangen konnten. Nach Angaben des Unternehmens erfolgte der unberechtigte Zugriff mittels eines gestohlenen Zugangspassworts eines Mitarbeiters, der anscheinend sein Passwort für den Zugriff auf die Cloud auch bei anderen Web-Dienstleistern verwendet hat. Auf die gleiche Weise haben die Angreifer auch auf „eine kleine Anzahl“ weiterer Dropbox-Accounts Zugriff erhalten.
Dropbox hat auf den Zwischenfall mit zweierlei Maßnahmen reagiert. Zum einen können sich Nutzer des Dienstes mit dem neu eingerichteten Zugriffsverlauf darüber informieren, wer zu welchem Zeitpunkt auf den Account zugegriffen hat. Zum anderen wird in den nächsten Wochen optional eine Zwei-Faktor-Authentifizierung angeboten, bei der neben der Online-Anmeldung auch eine Bestätigung per Mobiltelefon notwendig ist.
Ob bei Dropbox intern Maßnahmen ergriffen wurden, um solche Zwischenfälle in Zukunft zu vermeiden, lässt sich hingegen nicht in Erfahrung bringen. Der Vorfall zeigt nichts desto weniger wieder einmal schmerzlich auf, dass das Thema Datensicherheit, insbesondere für sensible Bereiche wie das Cloud-Computing, nicht ernst genug genommen werden kann.
14. Juni 2012
Medienangaben zufolge hat ein Passant in der Kasseler Fußgängerzone eine Liste mit Namen, Geburtsdaten und Diagnosen von 20 Patienten der Psychiatrie des Klinikums Kassel gefunden. Die Sprecherin des verantwortlichen Klinikums habe den Vorfall bestätigt. Es handele sich um ein Übersichtsblatt, wie es für Visiten oder internen Übergaben verwendet werde. Nach intensiven Recherchen gehe man davon aus, dass “menschliches Versagen einer einzelnen Person” die Ursache sei, heißt es in einer Stellungnahme der Geschäftsführung. Der Vorfall sei dadurch erklärbar, “dass ein Mitarbeiter oder eine Mitarbeiterin die Liste versehentlich nicht im Datenmüll entsorgt, sondern in einer Kleidungstasche vergessen und später aus Unachtsamkeit verloren hat.”
Die mit dem Vorfall befasste Referatsleiterin für das Gesundheitswesen bei dem Hessischen Datenschutzbeauftragten, Rita Wellbrock, soll diesen Datenfund als “bedauerlichen Einzelfall” bezeichnet haben. Man erwarte nun einen Bericht der verantwortlichen Stelle. Das Klinikum habe bereits eine weitere Schulung der Abteilung mit dem internen Datenbeauftragten zugesagt und die Anschaffung zusätzlicher Geräte für eine zeitnahe Aktenvernichtung vor Ort in Aussicht gestellt. Wenn adäquate Maßnahmen ergriffen würden, werde von einer Beanstandung abgesehen, so Wellbrock.
4. November 2011
Medienberichten zufolge konnten Patientendaten von rund 2500 psychisch Erkrankter aus Schleswig-Holstein monatelang von Jedermann im Internet eingesehen werden. Behörden- und Klinikbriefe, medizinische Befunde und psychologische Dokumentationen sollen sogar downloadfähig gewesen sein. Diese Datenpanne sei auf eine Sicherheitslücke bei dem IT-Dienstleister RebuS Consulting- und Verwaltungs GmbH, der bundesweit für fünf soziale Dienste und Behörden Datenbanken betreibt, zurückzuführen. Betroffen seien demnach nicht nur Patienten aus Schleswig-Holstein (z.B. Patienten des Therapie- und Beratungszentrums “Die Brücke” in Rendsburg), sondern auch Patienten anderer Bundesländer (z.B. des Hilfsvereins für psychisch Kranke in Winnenden). Der Server soll vorübergehend abgeschaltet worden sein. (sa)
3. November 2011
Medienangaben zufolge hat es bei der Deutschen Bahn eine Datenpanne bei dem seit dem 01. November neu eingeführten Handy-Ticketsystem “Touch & Travel” gegeben. Personenbezogene Daten von Kunden, die sich erstmalig für das Ticketsystem registriert haben, sollen danach in der Anmeldemaske für nachfolgende Kunden einsehbar gewesen sein. Betroffen seien u.a. Name, Adresse, Telefonnummer und Bankverbindung. Die Deutsche Bahn soll daraufhin die Internet-Registrierung für Neukunden gesperrt haben.
Die für die Datenpanne ursächliche Sicherheitslücke scheint mittlerweile behoben zu sein. Für Neukunden ist die Internet-Registrierung wieder möglich. (sa)
