Sag mir, wo die Daten sind: Neun berühmte Datenpannen

1. Facebook

Schon jetzt ist die Liste an (bekanntgewordenen) Datenpannen lang. Und sie zeigt eines ganz deutlich: Auf die Größe eines Unternehmens kommt es nicht an. Allein die Tatsache, dass es in jüngster Zeit immer wieder Facebook war, das besonders negativ aufgefallen ist, sollte Warnung genug sein. War der Cambridge Analytica-Skandal noch eher eine bewusst politische Angelegenheit, so ist die Datenpanne Anfang April dieses Jahres, wirklich eine hausgemachte Datenpanne. Unglaubliche 540 Millionen Kundendaten wurden auf öffentlich zugänglichen Amazon-Cloud-Servern gespeichert und waren für jedermann frei zugänglich – bis sie endlich entfernt wurde. Ein paar Monate zuvor (im September 2018) hatten hunderte Apps mehrere Tage lang weitreichenden Zugriff auf Fotos von mehreren Millionen Mitgliedern des Online-Netzwerks. Dazu gehörten auch Bilder, die Nutzer zwar auf Facebook-Server hochgeladen, aber nicht gepostet wurden.

2. Sony PlayStation

Aber auch Energieversorger, Online-Banken, Seitensprung-Agenturen oder Hochschulen leisteten sich bereits die eine oder andere Datenschutzverletzung. Die meisten davon sind freilich nicht so spektakulär wie der berühmte Playstation-Hack, einem der bislang größten Sicherheitsvorfälle der IT-Geschichte. 2011 drangen Hacker in Sony‘s PlayStation Network ein und kompromittierten rund 77 Mio. unverschlüsselte User-Accounts. Lediglich die Kreditkartendaten waren – allerdings nur eher schwach – verschlüsselt. Sony musste das Netzwerk damals komplett abschalten und mehreren Regierungen Rede und Antwort stehen bzw. Strafen bezahlen. Aber die machten keinen großen Unterschied mehr: Allein das Abschalten des Netzwerks kostete Sony – nach eigenen Angaben – 171 Mio. US-Dollar.

3. Yahoo

Dass man aber selbst das noch toppen kann, hat der Internetkonzern Yahoo bewiesen – und das gleich doppelt. Nachdem man im September 2016 gebeichtet hatte, dass bereits im Jahr 2014(!) mehr als 500 Mio. Nutzerkonten abgegriffen wurden, musste man zwei Monate später einräumen, dass schon ein Jahr zuvor, also 2013, die Daten von mehr als einer Milliarde Yahoo-Konten in falsche Hände gelangt sind. Kein bislang bekannt gewordener Hack hatte auch nur annähernd so viele Opfer. Bis heute ist übrigens nicht gänzlich geklärt, wie die Hacker eingedrungen sind, angeblich soll aber der russische Geheimdienst dahinterstecken. Zumindest der Kommunikationskonzern Verizon wird sich darüber freuen: Er hat Yahoo im Juni 2017 übernommen und den Kaufpreis auf einen Schlag um 350 Mio. US-Dollar gedrückt.

4. Deep Root Analytics

Garantiert nicht der russische Geheimdienst, sondern die für die Republikanische Partei tätige Analysefirma Deep Root Analytics hat die Daten von 198 Mio. US-Wählern ungesichert ins Netz gestellt. Nebst Namen, Geburtsdaten, Adressen und Telefonnummern waren teilweise auch Hinweise zu finden, welcher Religion oder Ethnie die Wähler angehören und wie sie zu kontroversen Themen stehen. Gefunden wurde die, zuletzt im Jänner 2017 aktualisierte Datei, von der IT-Sicherheitsfirma UpGuard. Deep Root Analytics hat die Echtheit der Daten bestätigt und die Datei zwischenzeitlich vom Netz genommen.

5. Ashley Madison

Für die rund 37 Mio. betroffenen User besonders unangenehm – um nicht zu sagen, ein Fiasko – war der Ashley Madison-Hack im Jahr 2015. Ashley Madison ist eine Seitensprung-Agentur die mit dem Slogan „Das Leben ist kurz. Gönn’ Dir eine Affäre” wirbt. Die Hacker verlangten die Stilllegung des Portals, andernfalls werde man sämtliche Kundenprofile ins Netz stellen, inklusive Klarnamen, Adressen, sexuellen Vorlieben und Kreditkarten-Transaktionen. Auch wenn dies schlussendlich nicht passiert und das Portal immer noch online ist: In den USA werden einige Suizid-Fälle verzweifelter User mit dem Hack in Verbindung gebracht.

6. Deutsche Post

Auch Europa ist keine Insel der Datenschutz-Seligen, wie beispielsweise ein Tochterunternehmen der Deutschen Post beweist. Unter der Domain umziehen.de betreibt diese ein Portal, auf dem Menschen nach ihrem Umzug die neue Adresse eingeben können, um Banken oder Versicherungen automatisch darüber zu informieren. Eine solche Datenbank mit rund 200.000 Umzugsmitteilungen ist Anfang Juli dieses Jahres ungeschützt ins Internet geraten. Schuld dran war menschliches Versagen, lustigerweise am Rande eines „Sicherheitsupdates“. Anlässlich diesem wurde eine Kopie der Daten angelegt, welche danach eigentlich gelöscht werden hätte sollen – wurde sie aber nicht.

6. Online Bank Comdirect

Apropos Bankdaten. Mit einem pikanten – und ebenso kuriosen – Problem hatte die Online-Bank Comdirect 2017 zu kämpfen. Kunden, die sich einloggen wollten, landeten nicht auf ihrem, sondern auf fremden Konten. Das Unternehmen rechtfertigte die technischen Probleme durch eine fehlerhafte Software-Einspielung. Erst ein Neustart der IT-Systeme brachte wieder Ordnung ins System. Zuvor war es einem Redakteur des deutschen Handelsblatts aber gelungen, Zugriff auf ein fremdes Konto mit mehr als 50.000 Euro Guthaben zu erlangen.

7. Spielzeughersteller VTech

Nicht minder problematisch war ein Vorfall beim chinesischen Spielzeughersteller VTech im Jahr 2015. Hacker konnten damals die Datenbank knacken und so auf alle Kundenprofile zugreifen. Zu den Daten gehörten neben Angaben wie Name, Adresse und Login-Daten auch Fotos sowie Chats von Eltern und Kindern – was für zusätzlichen Aufruhr sorgte. Weltweit waren fast fünf Mio. Accounts betroffen, natürlich auch in Österreich.

8. Energieversorger MVV

Es müssen aber nicht immer die bösen Hacker sein, die den Unternehmen das Leben schwermachen. Mitunter reichen da schon gestresste, übermotivierte bzw. nachlässige Mitarbeiter mit einem Mailprogramm. So geschehen etwa beim deutschen Energieversorger MVV, wo eine Mitarbeiterin versehentlich 1.000 Kundendaten (samt Bankverbindung) an eine Privatperson verschickt hat. Schuld daran war die Outlook-Funktion „Autovervollständigen“ sowie die Unachtsamkeit der Mitarbeiterin.

9. Hochschule RWTH Aachen

Sehr wohl an die richtigen Mail-Adressen gingen hingegen die beiden Nachrichten der Hochschule RWTH Aachen. In der ersten informiert das Mentoring-Team der Fakultät über einen kostenlosen Mathematik-Hilfekurs im Sommersemester. Im Grunde erfreulich, wäre da nicht die Datei „Bachelor-Gesamtliste“ im Anhang, welche eine Tabelle mit rund 8.000 Vor- und Nachnamen inklusive Matrikelnummer und jeweiliger E-Mail-Adresse enthält. In der zweiten, kurz darauffolgenden E-Mail, bittet das Mentoring-Team um Entschuldigung dafür, die Liste unabsichtlich verschickt zu haben und fordert die Empfänger dazu auf, die E-Mail zu löschen.

Und in Österreich?

Dass es hierzulande kaum etwas über Datenpannen zu hören gab, lag nicht daran, dass Österreich bislang ein Musterschüler war. Sondern vielmehr daran, dass solche Ereignisse lieber unter den Teppich gekehrt wurden. Das bis Mai 2018 wirksame Datenschutzgesetz (DSG 2000) sah zwar seit 2010 eine Informationspflicht vor, allerdings war diese Regelung derart schwammig und unklar formuliert, dass sie viel Spielraum offenließ. Außerdem waren die angedrohten Strafen mit max. 10.000 Euro eher im unteren Bereich angesiedelt. Mit der seit einem Jahr geltenden EU-Datenschutzgrundverordnung (DSGVO) ist das nun ein wenig anders. Jetzt kann’s richtig teuer werden – und vor allem ziemlich peinlich.

Lesetipps:

• https://dsgvo-gesetz.de/: Eine gut strukturierte Darstellung der DSGVO. Kapitel und Artikel sind beschlagwortet und können direkt aufgerufen werden.
• Zwei weitere Blogbeiträge zum Thema: 8 Maßnahmen um Datenpannen zu vermeiden und Geschäftsführer haften für Datensicherheit.

Du hast Interesse am Thema Schutz vor Datenpannen?

Sehr gerne rufen wir retour und stehen für alle Fragen zur Verfügung. Wir sind auch unter +43 1 3434333 und office@techbold.at erreichbar. Unsere vollständigen Kontaktdaten findest du hier