Infowatch: Data-Leakage in Deutschland – drei typische Ursachen
Datenpannen deutscher Unternehmen und Behörden
Fortsetzung des Artikels von Teil 2
Zweiter Fall: Versehentliche Veröffentlichung im Internet - ein weiterer Standard-Anwendungs-Fehler
Websites werden zunehmend generisch erstellt, um es auch Laien zu ermöglichen, schnell und ohne große Vorkenntnisse Inhalte zu bearbeiten. So reicht es beispielsweise in vielen Fällen aus, Daten nur in ein bestimmtes Verzeichnis zu kopieren, damit das Web-System diese in die Homepage einbindet. Dies erklärt auch die hohe Zahl von fälschlicherweise online verfügbaren Datensätzen. In vielen Fällen wurden durch Copy und Paste oder durch fehlerhafte Lese-Schreib-Berechtigungen Daten online einsehbar, die teils mehrere Tage lang online verblieben, bis der Fehler bemerkt wurde. DLP-Software ist in der Lage, zwischen sensiblen und unsensiblen Speicherbereichen zu unterscheiden. Ebenso kann DLP-Software sensible von unsensiblen Daten unterscheiden. In der einfachsten Form wäre ein Pop-Up mit einem Warnhinweis, dass die folgende Aktion die Veröffentlichung im Internet zur Folge hätte, schon ein wirksamer Schutz vor Data-Leakage. Dennoch war auch dieser Daten-Kanal bei vielen Fällen von Data-Leakage 2011 ursächlich:
- Ein rheinland-pfälzisches Ministerium veröffentlichte fälschlicherweise Dokumente zu einem laufenden Untersuchungsausschuss auf der Website. Neben Berater-Honoraren und Privatadressen waren somit für jeden auch anwaltliche Schreiben in diesem Zusammenhang einsehbar. Hintergrund war aller Wahrscheinlichkeit nach ebenfalls ein Anwenderfehler. Eine besondere Ironie bekommt der Fall durch den Umstand, dass die sensibelsten Daten nicht im Internet zu finden waren, weil die Datenschutzbestimmungen vorsahen, dass diese gar nicht in elektronischer Form einsehbar sein sollten. Ein zweifelhafter Ansatz, Datensicherheit dadurch zu erlangen, indem Daten nur in Papierform existieren.
- Ein ähnlicher Fall ereignete sich auch bei einem bayerischen Web-Hoster, bei dem nicht nur Namen, sondern auch Konto-Informationen, behördliche Schreiben mit der Polizei sowie Passwörter online zugänglich waren. Offenbar kann ein Anwenderfehler wie im rheinland-pfälzischen Ministerium auch professionellen Anwendern eines Internet-Dienstleisters unterlaufen.
- Ein weiterer Fall ereignete sich bei einem im Bau befindlichen Flughafen, wo Probe-Fluggäste über die Homepage gesucht wurden. Nach der Anmeldung war für jeden Probe-Fluggast eine vollständige Liste aller bisher angemeldeten Nutzer einsehbar. Offenbar fand ein Testlauf der Anmelde-Software nie statt.
- Ebenso veröffentliche ein Gericht in Dresden die Liste aller akkreditierten Journalisten online, inklusive Adresse, Ausweis- und Presseausweis-Nummern, Geburtsdaten und dem verhandelten Fall.
- Auch eine große deutsche Universität veröffentliche genauso versehentlich Namen, Adresse und Fachrichtung von insgesamt 20.000 Studenten. Jeder Prüfer konnte so Matrikelnummer und Namen abgleichen.
- Datenpannen deutscher Unternehmen und Behörden
- Erster Fall: Anwenderfehler beim E-Mail-Versand bleiben Sicherheits-Schwachstelle
- Zweiter Fall: Versehentliche Veröffentlichung im Internet - ein weiterer Standard-Anwendungs-Fehler
- Dritter Fall: Mangelhafte Entsorgung von Altpapier als unterschätzte Ursache für Data-Leakage
- Situation in Deutschland vergleichsweise positiv zu bewerten
Lesen Sie mehr zum Thema
