CCC stößt auf Datenlecks bei BMW, Nestle & Co.
Ohne Sicherheitsmaßnahmen überwinden zu müssen, haben Expertinnen und Experten des Chaos Computer Clubs (CCC) 6,4 Millionen persönliche Datensätze in über 50 Datenlecks entdeckt. Die teils sensiblen personenbezogenen Informationen konnten frei über das Internet abgerufen werden.
Sie stammten sowohl von großen Unternehmen als auch von staatlichen Institutionen wie der Bundeswehr, der Deutschen Bahn und und dem Landtag Niedersachsen. Millionen Kundinnen und Kunden, Fluggäste, Bewerber, Patienten, Versicherte und Nutzer sozialer Netzwerke sind von den Datenlecks betroffen.
In rund der Hälfte der Fälle konnten die Forscher unmittelbar auf personenbezogene Daten zugreifen. Auch stießen sie auf sensible Informationen wie vollständige Adressen, Gebissmodelle und Bewerbungen inklusive der Ablehnungsgründe der Personalabteilung.
Tabellenweise personenbezogene Daten
Die Datensätze stammten aus Datenbanken und Entwicklercodes, die ungesichert im Internet zugänglich waren wie der CCC berichtet. Die Experten fanden ganze Tabellen mit personenbezogenen Daten und sogar komfortabel durchsuchbare Cloud-Datenbanken.
“Es ist ernüchternd, wie sorglos manche Unternehmen mit ihren Daten oder, schlimmer, den Daten ihrer Kundinnen umgehen”, kommentierte CCC-Sprecher Matthias Marx.
Reaktionen
Der CCC hat die lange Liste von betroffenen Unternehmen veröffentlicht. Darunter befinden sich einige Größen wie AIDA, BMW, Deutsche Post, Deutsche Telekom, DPA, MediaMarkt Saturn Österreich, Merck & Co. und Nestle.
Die IT-Forscher haben ihre Entdeckungen “unmittelbar” an die Unternehmen und Institutionen gemeldet. “Die Mehrheit der Verantwortlichen reagierte zügig und den Umständen entsprechend verantwortungsbewusst”, berichten die Forscher. Die Reaktionen seien aber “vielfältig” ausgefallen.
Drei Viertel der Institutionen und Unternehmen hätten sich freundlich bedankt und die Sicherheitslücken geschlossen. Zehn Prozent hätten zwar die Schwachstelle beseitigt, aber nicht auf den Hinweis geantwortet. Und zwei Unternehmen hätten weder geantwortet noch die Sicherheitsdefizite behoben.
“Immerhin wurde in den meisten Fällen schnell und professionell reagiert. Für die anderen hoffen wir, dass unsere Meldung der letzte notwendige Weckruf war”, schrieb Marx.
Bei “brisanten Datenlecks” habe der CCC auch die zuständige Landesdatenschutzbehörde oder das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Kenntnis gesetzt.
Ob betroffene Nutzerinnen und Nutzer von den Verantwortlichen über die Datenlecks informiert wurden, ist den Forschern nicht bekannt. Nur in drei Fällen sei dies in den Antwortschreiben versprochen worden.
Es hätte nicht soweit kommen müssen
“Allen gemeldeten Fällen war gemein, dass sie leicht hätten verhindert werden können”, urteilen die Experten. In ihrem Bericht geben sie deswegen Tipps, wie solche schwerwiegenden Pannen vermieden werden können. Sie empfehlen unter anderem, Passwörter zu verschlüsseln.
Testsysteme könnten oft ohne echte Nutzerdaten betrieben werden. Zudem sollten sie nicht offen zugänglich ins Internet gestellt werden. Die Forscher raten auch davon ab, Backups, Log- und sensible Konfigurationsdateien in öffentlich zugängliche Verzeichnisse auf Webservern zu stellen. Werden personenbezogene Daten nicht mehr gebraucht, sollten sie “ausnahmslos gelöscht werden”.
Als allgemein hilfreich, wenn es um Datenschutz geht, kann man den letzten Ratschlag der Autoren verstehen: “Daten, die gar nicht erst erhoben werden, können auch nicht verloren gehen.” (hcz)