Irland: Führerscheindaten standen offen im Internet
In Irland waren Hunderttausende Dokumente mit persönlichen Daten öffentlich über das Internet zugänglich, darunter Führerscheine. Das berichtet die Zeitung Irish Independent. Kriminelle könnten die Daten beispielsweise für Identitätsdiebstahl missbrauchen.
Wie die Zeitung berichtet, sind von dem Datenleck Personen betroffen, deren Fahrzeuge im Auftrag der Nationalpolizei Garda abgeschleppt wurden. Die Daten lagen demnach auf den Servern eines IT-Dienstleisters – elf verschiedene Abschleppunternehmen würden dort Daten für die Polizei ablegen.
Alle Dokumente ließen sich ohne jeglichen Zugangsschutz wie ein Passwort abrufen: darunter Führerschein-Scans und Fahrzeugscheine, aber auch Angaben zu Bankkarten und Versicherungsunterlagen. Insgesamt seien mehr als 500.000 einzelne Dokumente zugänglich gewesen. Die Daten reichen laut Bericht teils bis zum Jahr 2017 zurück.
Mehr als 100.000 Menschen könnten betroffen sein
Unklar bleibt, wie lange die Daten offen im Internet standen. Entdeckt wurde der Server vom Sicherheitsforscher Jeremiah Fowler, der die Polizei bereits im August über die Sicherheitslücke informiert hatte. Der Zugang zu den Daten sei noch am selben Tag vom zuständigen IT-Dienstleister gesperrt worden.
Fowler erklärte in einem Blog-Beitrag, nach irischem Recht müssten Fahrzeugbesitzer eine Reihe von Dokumenten vorlegen, wenn ihr Fahrzeug von der Polizei beschlagnahmt wird. Dazu zählten ein Ausweis und ein Versicherungsnachweis. Pro Fall seien auf dem Server mehrere Dokumente gespeichert gewesen, weshalb er von etwa 150.000 betroffenen Fahrzeughaltern ausgeht.
Gegenüber dem Irish Independent sagte Fowler außerdem, einige der öffentlich zugänglichen Dokumente seien als “vertraulich” gekennzeichnet gewesen. Darunter seien beispielsweise Akten mit den Namen von Fahrern, Zeugen und Polizeibeamten gewesen.
Warnung vor Datenmissbrauch
Ein Polizeisprecher sagte gegenüber der Zeitung, die Behörde habe sofort eine Untersuchung eingeleitet, nachdem sie über das Datenleck informiert wurde.
Sicherheitsexperte Fowler warnte, die Dokumente könnten beispielsweise für Identitätsdiebstahl oder anderen Betrug missbraucht werden. Ob Unbefugte bereits auf die Daten zugegriffen haben, ist unklar.
Der IT-Dienstleister erklärte, das Problem sei bei Aktualisierung der verwendeten Software entstanden. Das Unternehmen sei nicht direkt von der Polizei beauftragt, sondern arbeite für die Abschleppunternehmen.
Laut dem Bericht ist auch die irische Datenschutzbehörde nun mit dem Fall beschäftigt. Diese versuche derzeit zu klären, wer für den Schutz der Daten verantwortlich war. Die Polizei bestand gegenüber dem Irish Independent darauf, dass sie keine Schuld trage – die Abschleppunternehmen seien vertraglich verpflichtet, den Schutz der Daten sicherzustellen.
Auch in Großbritannien waren zuletzt mehrfach Daten im Zusammenhang mit Polizeiarbeit offengelegt worden. Die Polizei in Nordirland hatte beispielsweise als Antwort auf eine Informationsfreiheitsanfrage eine Liste mit den Nachnamen, Dienstgraden, Einsatzorten und Beschäftigungsfeldern aller mehr als 10.000 Beamten und Beschäftigten herausgegeben.
Bei einem Sicherheitsvorfall bei einem IT-Dienstleister der Londoner Metropolitan Police wurden außerdem Namen, Dienstgrade und Fotos von Beamten der Behörde offengelegt. In Manchester wurden bei einem Angriff auf einen IT-Dienstleister Namen und Fotos von Polizistinnen und Polizisten gestohlen. (js)