Zu verkaufen: Firmeninfos und Bürgerdaten via eBay
Auf Festplatten aus zweiter Hand finden sich oftmals Daten, die nicht in fremde Hände geraten sollten: Redaktionen des Bayerischen Rundfunks und der ARD haben über zwei Dutzend gebrauchte Festplatten analysiert, die auf der Plattform eBay Kleinanzeigen gekauft wurden. Sie fanden unter anderem Beweismittel für einen Betrugsfall und Zugangsdaten einer Klarna-Tochter sowie Passfotos und Unterschriften aus einem Einwohnermeldeamt.
Einige Daten waren laut Tagesschau direkt verfügbar und die Festplatte musste nur angeschlossen werden. In anderen Fällen seien die Datenträger nur im Schnellverfahren formatiert worden. Zwar sind die Informationen dann nicht ohne Weiteres sichtbar, aber durchaus mit kostenlosen Dattenrettungsprogrammen wiederherzustellen. Besondere IT-Kenntnisse sind dafür nicht nötig.
Ein Teil der Datenträger war den Redaktionen von einer Quelle zugespielt worden, die anonym bleiben will. Sie selbst waren von einem Anbieter als Käufer abgelehnt worden, weil er keine Festplatten an Journalistinnen und Journalisten verkaufen wollte. Die Begründung: “Auf den Datenträgern waren mal Firmendaten”.
Einwohnermeldeamt, Klarna, Audi
Die auf den Festplatten gefundenen Daten waren teils hochsensibel: Offensichtlich stammte einer der Datenträger aus dem Einwohnermeldeamt der Gemeinde Neunkirchen-Seelscheid bei Bonn. Darauf fanden sich persönliche Informationen über Geburten, neue Staatsangehörigkeiten oder verlorene Personalausweise. Außerdem waren über 2000 Passfotos von Bürgerinnen und Bürgern mit passenden Unterschriften gespeichert.
Auf einer anderen Festplatte befanden sich Daten einer Tochterfirma des schwedischen Zahlungsdienstleisters Klarna. In einem Ordner namens “Unterlagen für das LKA” lagen eine Strafanzeige von Ende 2015 gegen einen Mitarbeiter wegen Betrugs sowie weitere Dokumente zu diesem Fall. Außerdem stießen die Redaktionen auf eine Sammlung von Zugangsdaten sowie auf Präsentationen und Wachstumsraten für den internen Gebrauch.
Bei dem dritten geschilderten Fall handelte es sich um einen Festplatte des Autoherstellers Audi, die aus der Produktion stammte. Auf ihr fanden die Reporter Daten, die bis in das Jahr 2010 zurückreichten.
Die Daten ließen sich “prima für Betrug einsetzen”, erklärte Jörg Gottschalk von der “Taskforce Cybercrime” bei der Polizei in Göttingen gegenüber der Tagesschau. Kriminelle könnten sie dazu nutzen, falsche Identitäten anzunehmen und sich zu verifizieren. Die Daten würden sich auch auf einschlägigen Webseiten verkaufen.
Ursprung unbekannt
Über welchen Weg die ungelöschten Datenträger auf eBay gelandet sind, ist in keinem der Fälle bekannt. Klarna beteuerte gegenüber der Tagesschau: “Bei Klarna gibt es einen klaren Prozess für die Entsorgung von Festplatten, der höchsten Standards entspricht. Wir arbeiten dabei mit spezialisierten und geprüften Anbietern zusammen, die die Vernichtung uns gegenüber zertifizieren.” Die Firma will den Fall untersuchen.
Audi konnte nachvollziehen, dass die Festplatte aus einem “Anlagenbedienpult” in einem Werk in Neckarsulm stammt. Im Rahmen eines Update-Prozesses wurden die Rechner dort ausgetauscht. Da sich keine sensiblen Daten auf den Anlagenrechnern befanden, habe es auch keine “besonders strengen Entsorgungskriterien” gegeben.
Bei der Gemeinde Neunkirchen-Seelscheid war ein externer Dienstleister dafür zuständig, die Datenträger zu löschen. Ob die Festplatte beim Transport verschwand oder das Unternehmen sie einfach nicht gelöscht hatte, ist unklar. Die Gemeinde hat Anzeige gegen Unbekannt erstattet und das Datenleck der Landesdatenschutzbehörde gemeldet.
Fehlende Kontrolle
Firmen und Behörden löschen alte Datenträger häufig nicht selbst, sondern engagieren Dienstleister für diese Aufgabe. Doch offenbar vernichten Dienstleister entgegen ihres Auftrags die Daten nicht immer zuverlässig.
Datenschutzexperte Thilo Weichert schildert gegenüber Tagesschau, das Löschen von Daten verliefe oft nach “Wildwest-Manier”. Denn es gebe keine Kontrolle durch Aufsichtsbehörden oder den datenschutzverantwortlichen Besitzern der Datenträger. (hcz)
Den Beitrag zum Thema gebrauchte Festplatten sendet die ARD am heutigen Mittwoch um 21:45 Uhr in der Sendung Plusminus. Im Anschluss kann er in der Mediathek angesehen werden.