2009 war ein schwarzes Jahr für den Datenschutz

Monat für Monat schwere Datenschutzpannen - Anwender müssen mit vertraulichen Daten sensibler umgehen

(22.12.09) - Um die IT- und Datensicherheit in Unternehmen war es im Jahr 2009 schlecht bestellt - so das ernüchternde Fazit des Computersicherheitsspezialisten Sophos: Die Kette gravierender Fälle von Datenmissbrauch riss im ablaufenden Jahr nicht ab. In skandalöser Weise wurden Millionen sensibler Daten bewusst oder unbewusst gefährdet oder unzulässig verwendet. Zwar gibt es inzwischen gesetzliche Vorschriften, wie die Meldepflicht bei Datenverlusten, die Unternehmen zu einem verantwortungsvolleren Umgang mit vertraulichen Daten verpflichtet. Noch immer aber sind sich viele Firmen der vielfältigen IT- und Datensicherheitsrisiken nicht bewusst: Vorhandene Lösungen zur Sicherung der Daten werden bislang nur unzureichend genutzt und Mitarbeiter nur selten im richtigen Umgang mit sensiblen Daten geschult. Die Folge: Vertrauliche Geschäfts-informationen, viel Geld und der gute Ruf von Unternehmen stehen auf dem Spiel. Die Fälle der letzten zwölf Monate machen deutlich, dass nicht nur private Nutzer gefährdet sind, vertrauliche Daten, wie Online-Zugangsdaten, PIN und TAN, an Cyberkriminelle zu verlieren. Auch Unternehmen und Organisationen können Opfer gezielter Spionage-Attacken und damit um vertrauliche Daten gebracht werden. Sascha Pfeiffer, Principal Security Consultant bei Sophos, kommentiert: "Das Jahr 2009 war ein schwarzes Jahr für den Datenschutz und die Datensicherheit. Selbst weltweit tätige Großkonzerne haben offenbar den Umgang mit sensiblen und vertraulichen Kundendaten nicht im Griff. Sie müssen sich fragen lassen, warum sie nicht geeignete Vorkehrungen dagegen treffen, dass Mitarbeiter, Partner und sogar Unberechtigte vollen Zugang zu allen Informationen in Kundendatenbanken erhalten. Erschwerend kommt hinzu, dass etliche Datenpannen des letzten Jahres auch dadurch verursacht wurden, dass Inhalte vollständiger Datenbanken auf mobile Speichermedien kopiert oder per E-Mail weitergeleitet werden konnten. Missbrauch, wie dem illegalen Weiterverkauf von Kundendaten, wird damit Tür und Tor geöffnet."

Einige spektakuläre Datenpannen des Jahres 2009 im Überblick

· Persönliche Daten von 18.000 Bewerbern einer Show waren im Web einsehbar: Im Februar 2009 waren Informationen zu Hobbys, Freizeit und Talenten aus der Bewerberdatenbank ungeschützt im Internet zugänglich. Es handelte sich um Daten von rund 18.000 Bewerbern.

· Ein Kabelunternehmen verbreitet Kundendaten ungesichert: Es hat im März Hunderttausende vollständige Kundendatensätze per Excel-Dateien an Subunternehmer weitergegeben. Es war nicht mehr möglich, den Weg der Daten nachzuvollziehen.

· Einwohnermeldedaten über Jahre hinweg frei zugänglich:

· Im Juni wurde bekannt, dass über mehrere Jahre personenbezogen Daten, wie Familienstand, Geburtsdatum oder Religionszugehörigkeit, ahnungsloser Bürger offen im Netz verfügbar waren. Ein Software-Dienstleister veröffentlichte versehentlich Zugangsdaten auf seiner Website, über die die Melderegister zahlreicher deutscher Kommunen einsehbar waren.

· Datendiebstahl bei Social Network:

· Im Oktober legte offenbar ein einzelner Täter Kopien der Profile einzelner User an, die allerdings keine Angaben über Post- und E-Mail-Adressen, Zugangsdaten, Fotoalben und Telefonnummern enthielten, und gab die kopierten Datensätze an Dritte weiter. Er bediente sich dabei eines Crawlers und hackte sich mit den normalen Log-in-Daten in das Netzwerk ein, um die Datensätze zu kopieren.

· Dienstleister verursacht größte Kreditkartenumtauschaktion: Im November mussten über 100.000 Kreditkarten deutscher Kunden aus dem Verkehr gezogen werden, um Datenmissbrauch vorsorglich zu verhindern. Vorausgegangen war der größten Kreditkarten-Umtauschaktion in Deutschland ein Datenklau in Spanien: Einem spanischen Dienstleister wurden unbestätigten Berichten zufolge die Daten tausender deutscher Kunden geklaut - davon betroffen könnten alle Banken und Bankkunden, auch solche, die nicht in Spanien waren, sein. Schadensfälle sind noch keine bekannt.

(Sophos: ra)