purzelbaum
unsere besten emails

Satclub-Thueringen

RSS feed for this site
Registrierung Suche Zur Startseite

Satclub-Thueringen » Allgemeines » Off - Topic » „c't“: Zehntausende Bürgerdaten auf SSD-Speicher bei eBay entdeckt » Hallo Gast [[Anmelden]|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen „c't“: Zehntausende Bürgerdaten auf SSD-Speicher bei eBay entdeckt
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »

Fritz Müller Fritz Müller ist männlich Steckbrief
Moderator


images/avatars/avatar-503.jpg

Dabei seit: 28.10.2012
Beiträge: 1.604
Herkunft: Leipzig




verrückt „c't“: Zehntausende Bürgerdaten auf SSD-Speicher bei eBay entdeckt Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Ein SSD-Speichermedium mit Zehntausenden Bürgerdaten aus der Kfz-Zulassungsstelle und dem Jugendamt des Landratsamts Coburg ist auf der Online-Plattform eBay zum Kauf angeboten worden. Wie das IT-Fachmagazin „c't“ berichtet, befanden sich auf der als neuwertig verkauften SSD nicht nur unverschlüsselte persönliche Daten von Bürgern, sondern auch interne Mails der Behörde. „Unser Leser staunte nicht schlecht, als die angeblich neuwertige SSD vom eBay-Händler vollgestopft mit Behördenakten bei ihm im Briefkasten landete“, sagte Georg Schnurer, Chef vom Dienst des Magazins. Dieser
hatte sich unverzüglich an die „c't“-Redaktion gewandt, die der Sache nachging.

Das Landratsamt Coburg bestätigte am Freitag den Vorfall. Anhand der Seriennummer sei die fragliche SSD-Platte tatsächlich dem ehemaligen Bestand der Behörde zuzuordnen, hieß es in einer Mitteilung. Nach momentaner Kenntnis sei aber davon auszugehen, „dass die Daten der SSD nicht in die Öffentlichkeit gelangt sind, da der Käufer der Platte dankenswerterweise sehr umsichtig gehandelt hat“.

Wie „c't“ zuvor berichtet hatte, war das Speichermedium aus dem Bestand der Behörde nach technischen Problemen im Sommer an einen IT-Dienstleister gegangen, der auch eine Löschbescheinigung für die defekte SSD ausgegeben hat. Beim Austausch sei es dann zu einer „Datenpanne“ gekommen, bestätigte die Behörde. Entgegen der vertraglichen Abmachungen sei von der Herstellerfirma beziehungsweise deren Mitarbeiter offensichtlich keine ordnungsmäßige Löschung der Daten erfolgt, obwohl ein Löschzertifikat vorgelegt worden sei.

Nach Recherchen der „c't“ habe sich herausgestellt, dass dabei ein Löschverfahren angewendet wurde, das zwar für magnetische Speicher, aber nicht für SSDs geeignet gewesen sei. In der Folge seien zahlreiche Daten auf verschiedenen Sektoren unberührt geblieben. Die Behörde habe zudem beim Erwerb nicht auf einen sogenannten Festplattenverwurf bestanden. Damit sei die ausgetauschte Festplatte wieder in den Besitz des Lieferanten übergegangen. Dieser habe sie einer einfachen Funktionsprüfung unterzogen und dann als B-Ware weiter an einen gewerblichen Händler verkauft, schreibt die „c't“.

Als besonders heikel stellte sich bei dem Fund heraus, dass eine Mitarbeiterin der Zulassungsstelle offenbar parallel auch für das Jugendamt des Landratsamts Coburg tätig war. Rekonstruiert werden konnte auf der SSD demnach auch „jede Menge hochsensibler Korrespondenz in Jugendamt-angelegenheiten, darunter Daten zu Betreuungsverhältnissen, Heimunterbringungen und Unterhaltsfragen“, heißt es in dem „c't“-Bericht.

Unmittelbar nach Bekanntwerden des Vorfalls am 18. November hat das Landratsamt nach eigenen Angaben die Kriminalpolizei Coburg eingeschaltet. „Mittlerweile hat die Generalstaatsanwaltschaft Cyberkriminalität Bamberg und die KPI Bamberg den Fall übernommen.“ Zeitgleich sei der Bayerische Landesdatenschutzbeauftragte informiert worden. Die Ermittlungen dauerten an.

Quelle: Infodigital

__________________
Ein Kluger bemerkt alles, ein Dummer macht über alles seine Bemerkungen. (Heinrich Heine)
21.12.2019 10:00 Fritz Müller ist offline E-Mail an Fritz Müller senden Beiträge von Fritz Müller suchen Nehmen Sie Fritz Müller in Ihre Freundesliste auf

Muad'Dib   Zeige Muad'Dib auf Karte Muad'Dib ist männlich Steckbrief
.:.Carpe.Diem.:.


images/avatars/avatar-505.jpg

Dabei seit: 12.06.2007
Beiträge: 6.134
Herkunft: 51°N/11.5°E Jena/Thuringia




RE: „c't“: Zehntausende Bürgerdaten auf SSD-Speicher bei eBay entdeckt Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Zitat:
Original von Fritz Müller

Das Landratsamt Coburg bestätigte am Freitag den Vorfall. Anhand der Seriennummer sei die fragliche SSD-Platte tatsächlich dem ehemaligen Bestand der Behörde zuzuordnen, hieß es in einer Mitteilung. Nach momentaner Kenntnis sei aber davon auszugehen, „dass die Daten der SSD nicht in die Öffentlichkeit gelangt sind, da der Käufer der Platte dankenswerterweise sehr umsichtig gehandelt hat“.

Wie „c't“ zuvor berichtet hatte, war das Speichermedium aus dem Bestand der Behörde nach technischen Problemen im Sommer an einen IT-Dienstleister gegangen, der auch eine Löschbescheinigung für die defekte SSD ausgegeben hat. Beim Austausch sei es dann zu einer „Datenpanne“ gekommen, bestätigte die Behörde. Entgegen der vertraglichen Abmachungen sei von der Herstellerfirma beziehungsweise deren Mitarbeiter offensichtlich keine ordnungsmäßige Löschung der Daten erfolgt, obwohl ein Löschzertifikat vorgelegt worden sei.

Nach Recherchen der „c't“ habe sich herausgestellt, dass dabei ein Löschverfahren angewendet wurde, das zwar für magnetische Speicher, aber nicht für SSDs geeignet gewesen sei.



Was für dilIetantische Versager werden da beauftragt und bezahlt??
Das ist ABARTIG.

Und dann noch dieses widerwärtig dummdreiste Gefasel vom Landratsamt Coburg. Bananenrepublik!!!

__________________
***Multifeed Triax Unique 3°E>28°E & motorized FiboStøp120***
F-16, Mio 4K, OpenBoxen, VU+Solo 4K & Blindscan, DVB-S2X/T2 Cards

Ich bremse nicht für Schnarchroboter. ®²º¹³ Muad'Dib
CARPE DIEM!Alle meine posts stellen meine persönliche und freie Meinungsäußerung dar.
22.12.2019 16:29 Muad'Dib ist offline E-Mail an Muad'Dib senden Beiträge von Muad'Dib suchen Nehmen Sie Muad'Dib in Ihre Freundesliste auf

Muad'Dib   Zeige Muad'Dib auf Karte Muad'Dib ist männlich Steckbrief
.:.Carpe.Diem.:.


images/avatars/avatar-505.jpg

Dabei seit: 12.06.2007
Beiträge: 6.134
Herkunft: 51°N/11.5°E Jena/Thuringia




verrückt SSD mit Daten von Jugendamt und Zulassungsstelle bei eBay gefunden Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Arbeitet eine Behörde mit persönlichen Daten von Bürgern, ist besondere Sorgfalt geboten. Dennoch tauchte bei eBay eine SSD mit Zehntausenden Bürgerdaten auf.

Ende Oktober war Daniel R. auf der Suche nach einer günstigen SSD für seinen PC. Dabei stolperte er bei eBay über das Angebot der Peperit GmbH aus Reutlingen: Die bot insgesamt 19 SSDs von Silicon Power mit einer Kapazität von 256 GByte zum Stückpreis von knapp 30 Euro an. Die Laufwerke sollten laut Beschreibung neuwertig sein und aus Kundenretouren innerhalb des Widerrufsrechts stammen. Alle SSDs seien geprüft und getestet worden und befänden sich in einwandfreiem Zustand.

Klingt doch nicht schlecht, dachte sich Daniel D., und orderte am 31. Oktober ein Exemplar. Der Händler bestätigte den Kauf und kurz darauf traf die SSD beim Kunden ein. Schon beim Auspacken wurde dieser stutzig: Die vermeintlich „neuwertige“ SSD zeigte deutliche Nutzungsspuren und Beschädigungen im Bereich der Befestigungsschrauben.

Gebrauchte SSD statt Neuware

Schlimmes ahnend schloss Daniel D. die SSD erst einmal an seinen Linux-PC an und mountete das Gerät im Read-only-Modus. Ein Blick auf den Betriebsstundenzähler der SSD bestätigte seine Befürchtungen: Das Teil hatte bereits mehr als 2500 Stunden in einem PC gearbeitet und war mehr als 560 Mal ein- und ausgeschaltet worden. Im bisherigen Leben der SSD hatte diese gut 4200 GByte Daten geschrieben (NAND-Schreibvorgänge) – zu einer vorgeblich aus einem Widerruf stammenden SSD passte das so gar nicht.

Daniel D. warf noch einen schnellen Blick auf die Partitionierung der SSD und traute seinen Augen kaum: Auf dem Laufwerk war eine komplette Windows-10-Installation mit allen im Laufe von knapp zwei Jahren Betrieb gesammelten Daten. Bei den Daten, das stellte Daniel D. sofort fest, handelte es sich um Informationen zu typischen Verwaltungsakten einer Zulassungsstelle. Behördendaten auf einer angeblich neuwertigen SSD vom eBay-Händler? Das war Daniel D. dann doch nicht geheuer. Unverzüglich informierte er die c’t-Redaktion und bat uns, die Sache genauer unter die Lupe zu nehmen. Damit die SSD mit den sensiblen Daten nicht in falsche Hände gerät, brachte Daniel D. sie persönlich in die Redaktion und nahm dafür auch eine längere Zugfahrt aus der Gegend um Nürnberg nach Hannover in Kauf.

Datenhalde mit Sprengstoff

Wir versuchten zunächst ein Image zu erstellen, um die Daten auf der SSD nicht zu verfälschen. Dabei stellte sich heraus, dass die SSD offensichtlich beschädigt war: Nach einiger Zeit hängte sich das Laufwerk auf und ein Zugriff war nicht mehr möglich. Das Linux-Tool DDRescue verhalf uns aber dennoch zu einem vollständigen Image. Die Original-SSD landete im Datentresor und alle weiteren Untersuchungen konzentrierten sich auf das Image.

Wie sich schnell herausstellte, stammten die meisten Daten aus dem Zweckverband Zulassungsstelle Coburg. Gut 20 Mitarbeiter hatten mit dem Rechner gearbeitet. Die dabei auf der SSD angefallenen Daten lieferten einen detaillierten Einblick in die Arbeitsweise der Zulassungsstelle. Anscheinend wurden dort Unterlagen zu An-, Ab- und Ummeldungen von Fahrzeugen aller Art zunächst eingescannt. Eine Software namens „komXpdf“ wandelt dann alle zu einem Vorgang gehörenden Dokumente in ein PDF-Dokument um. Anschließend scheinen die Daten an das Dokumentenmanagement-System der Behörde übergeben zu werden – allerdings ohne die zuvor lokal gespeicherten Daten nach erfolgreicher Übertragung zu löschen. So sammelt sich über die Zeit eine stattliche Datenhalde an. Wir entdeckten auf der SSD gut 12.750 solcher Dokumente. Da sich darin jede Menge persönlicher Daten von Bürgern befinden, birgt so eine lokale Datensammlung auf einem Arbeitsplatz-Rechner ein enormes Missbrauchspotenzial.

Doch damit nicht genug: Anscheinend arbeitet die Zulassungsstelle Coburg mit Outlook 2016, das so konfiguriert wurde, dass stets lokale Kopien der E-Mail-Postfächer in OST-Dateien angelegt werden. In diesen, mit vielen Freeware-Programmen auslesbaren Dateien fanden wir Tausende von empfangenen, versendeten und vermeintlich gelöschten E-Mail-Nachrichten. Darunter nicht nur jede Menge interner Behördenkommunikation, sondern auch Nachrichten und Mail-Anhänge mit Bürgerdaten. Da waren dann Vollmachten, Versicherungsdaten, Handelsregisterauszüge, Zulassungen, aber eben auch Stilllegungsverfügungen, Bußgeldbenachrichtigungen, Zwangsversteigerungen und andere amtliche Zwangsverfahren zu finden.

Sorgloser Umgang mit Passwörtern

Geradezu sorglos scheint man in der Zulassungsstelle Coburg mit Passwörtern umzugehen. Wir entdeckten haufenweise Nachrichten mit Zugangsdaten zu den verschiedensten behördlichen Servern. Darunter waren so spannende Dinge wie das europäische Fahrzeug- und Führerscheininformationssystem EUCARIS, das Zentralregister des Kraftfahrt-Bundesamtes REGINA und eVB-Zugangsdaten, um nur einige der Dienste zu nennen. Auch der Zugriff auf die DEKRA-Gutachten-Datenbank, die Rechtsdatenbank Wolterskluwe-online und andere Dienste waren vertreten.

Weitere strukturelle Datenschutzrisiken entdeckten wir bei einem Blick auf die Spuren, die der behördeninterne Brief-Generator hinterlassen hat: Das System wird anscheinend von den Mitarbeitern mit Auszügen aus der zentralen Datenbank gefüttert. Die Datenbank hinterlegt auf dem Rechner des Verwaltungsmitarbeiters eine Datei mit der Endung .db. Dabei handelt es sich um eine Datei im CSV-Format, die jeweils eine Deskriptorenzeile und einen Bürgerdatensatz enthält. Daraus generiert das System dann einen Brief und legt diesen im RTF-Format im Userverzeichnis des Mitarbeiters ab. Nach erfolgtem Druck wird aber weder die CSV- noch die RTF-Datei gelöscht – und wieder entsteht eine Datenhalde, die zu allerlei Missbrauch einlädt.
Diese bei eBay gekaufte SSD enthielt als unerwartete Zugabe nicht nur zehntausende Bürgerdaten, sondern auch Zugangsdaten zu diversen Behörden- und Firmenserverdiensten.

Diese bei eBay gekaufte SSD enthielt als unerwartete Zugabe nicht nur zehntausende Bürgerdaten, sondern auch Zugangsdaten zu diversen Behörden- und Firmenserverdiensten.

Daten vom Jugendamt

Aber es kommt noch schlimmer: Eine der Mitarbeiterinnen der Zulassungsstelle hat wohl einen Arbeitsvertrag, bei dem sie einen Teil ihrer Arbeitszeit auch für das Jugendamt des Landratsamtes Coburg aufwendet. Die Arbeit für das Jugendamt scheint am gleichen PC zu erfolgen wie die für die Zulassungsstelle. Folgerichtig entdeckten wir im E-Mail-Verkehr der Mitarbeiterin auch jede Menge hochsensibler Korrespondenz in Jugendamtsangelegenheiten, darunter auch Daten zu Betreuungsverhältnissen, Heimunterbringungen und Unterhaltsfragen. So etwas gehört unter keinen Umständen unverschlüsselt auf den lokalen PC eines Verwaltungsmitarbeiters und natürlich erst recht nicht auf eine bei eBay verkaufte SSD.

Angesichts der bereits entdeckten Daten fällt es kaum noch ins Gewicht, dass sich auf der SSD auch Dokumente zu internen Abläufen der Behörde fanden. So etwa die im Amt als „Bibel“ bezeichnete Dokumentation aller Handlungsabläufe der Zulassungsstelle. Aus den in den jeweiligen Nutzerverzeichnissen hinterlegten Cookies und Surf-Verläufen lässt sich auch das private und dienstliche Surfverhalten der einzelnen Mitarbeiter nachvollziehen. Doch wer da wo und wann nach Urlaubsreisen, Kochrezepten oder Hochzeitssprüchen gesucht hat, ist weit weniger brisant als die vielen Daten der Bürger.

Spurensuche

Doch wie kommt eine SSD mit sensiblen Behördendaten in das Angebot eines eBay-Händlers? Das Datenschutzrecht schreibt vor, dass Datenträger mit sensiblen Informationen entweder fachgerecht vernichtet oder zumindest zuverlässig gelöscht werden müssen. Über die Löschung beziehungsweise Vernichtung muss die Behörde einen entsprechenden Beleg erhalten, andernfalls verhält sie sich rechtswidrig.

Unser Versuch, den Weg der SSD zu eBay zu verfolgen, endete zunächst beim Händler. Um Stellungnahme gebeten, erklärte Mathias Zweigle, Geschäftsführer der Peperit GmbH, dass die uns von Daniel D. übergebene SSD nicht von ihm stammen könne. Er habe nie eine SSD mit der zugehörigen Seriennummer eingekauft und könne sie folglich auch nicht verkauft haben, beteuerte Zweigle. Der Kunde wiederum schwört Stein und Bein, genau diese SSD von der Peperit GmbH zugeschickt bekommen zu haben. Seine Aussage stützt die von der Firma erhaltene Rechnung, die exakt eine SSD des uns übergebenen Typs beschreibt. Allerdings ist auf der Rechnung keinerlei Seriennummer hinterlegt – zweifelsfrei können wir dem Händler die Lieferung damit nicht nachweisen.

Behörde im Alarm-Modus

Doch damit waren unsere Recherchemöglichkeiten noch nicht erschöpft: Auch über die Zulassungsstelle Coburg sollte sich zumindest teilweise rekonstruieren lassen, wie die SSD und die darauf befindlichen Daten ihren Weg zu eBay genommen haben. Wir informierten das zuständige Landratsamt Coburg, den Datenschutzbeauftragen des Amtes und den bayrischen Datenschutzbeauftragten am Freitagnachmittag über die bei uns gelandeten Daten.

Die Reaktion der Behörde erfolgte unverzüglich: Der bayrische Datenschutzbeauftragte, Prof. Dr. Thomas Petri, leitete sofort eine Untersuchung des Vorfalls ein. Auch der Datenschutzbeauftragte des Landkreisamtes blieb nicht untätig und schaltete die Kriminalpolizei Coburg ein. Dort vermutete man zunächst, dass die SSD aus einem der vier Behördenrechner stammen könnte, die zusammen mit einem Beamer um Ostern herum bei einem Einbruch im Schulungszentrum der Zulassungsstelle gestohlen worden waren. Wir extrahierten daraufhin den Namen und die IP-Adresse des Rechners aus den Daten auf der SSD. Doch der PC mit der Bezeichnung „HY038“ stand nicht auf der Liste der entwendeten Geräte. Zudem nutzten die Mitbearbeiter den Rechner noch lange nach Ostern.

All das führte letztlich zu einer anderen Spur: Die Zulassungsstelle wird IT-technisch vom Fachbereich Informations- und Kommunikationstechnik des Landratsamts Coburg betreut. Zusätzlich fungiert die DiAL GmbH aus Eichenzell als externer Dienstleister. Der war auch für die Beschaffung der PCs in der Zulassungsstelle verantwortlich. Die DiAL GmbH hatte die Hyrican Informationssysteme AG mit der Lieferung der Rechner beauftragt. Im Juni 2019 gab es dann ein Problem mit der SSD in dem Rechner mit der Bezeichnung „HY038“. Daraufhin übernahm ein Techniker von Hyrican den Austausch der SSD. Nach Angaben der Behördenleitung hätte der Hyrican-Techniker auch eine Löschungsbescheinigung für die mitgenommene defekte SSD ausgestellt.
Auf der Rückseite der SSD entdeckten wir einen Aufkleber des PC-Herstellers Hyrican. Er gab erste Hinweise auf den Weg des Datenspeichers zu eBay.

Löschen nach DoD

Doch wieso landete die SSD mitsamt den Daten dann bei eBay? Wir baten Christian Grimm, technischer Leiter bei der Hyrican Informationssysteme AG, um Stellungnahme. Laut Grimm wurde die von uns untersuchte SSD tatsächlich von einem Hyrican-Mitarbeiter in der Zulassungsstelle Coburg getauscht. Die SSD sei dann am 22. August zusammen mit 33 weiteren SSDs des gleichen Typs an den Distributor, die Api Computerhandels GmbH, zwecks Garantieleistung gesendet worden. Üblicherweise würden Laufwerke mit sensiblen Daten bei Hyrican mit einem speziellen Festplatten-Dupliziersystem, dem Image MASSter 4000PRO, gelöscht. Der Imager bietet die Funktion WhipeOut DoD. Dahinter verbirgt sich ein vom amerikanischen Verteidigungsministerium entwickeltes Löschverfahren (DoD 5220.22-M), bei dem alle Daten auf einer Festplatte mehrfach mit diversen Bitmustern überschrieben werden.

Für Laufwerke mit magnetischer Datenspeicherung mag diese Löschmethode durchaus geeignet sein, für SSDs ist damit aber generell keine einhundertprozentige Löschung aller Daten möglich. Jede SSD besitzt interne Reservesektoren (Over-Provisioning), auf die der Controller im Rahmen des sogenannten Wear Leveling Daten von häufig genutzten Speicherzellen auslagert. Diese über die SATA-Schnittstelle nicht adressierbaren Reservespeicherzellen erreicht ein Löschverfahren nach DoD nicht. Für hochsensible Daten auf SSDs kommt deshalb nur die physikalische Zerstörung des Laufwerks infrage.

Die Daten der Coburger Zulassungsstelle klassifiziert die Behörde als „vertrauliches Material“ der Sicherheitsstufe 3. Hier wäre eine Löschung durch mehrfaches Überschreiben nach DoD also durchaus hinreichend – selbst auf einer SSD. Doch die in der Zulassungsstelle aufgrund eines Firmware-Fehlers ausgetauschten SSDs seien mit dem Image MASSter 4000PRO nicht mehr ansprechbar gewesen, teilte uns der technische Leiter von Hyrican mit.

Kein Festplattenverwurf

Doch warum wurden die vermeintlich defekten SSDs dann nicht vernichtet? Auch dafür hatte Hyrican eine Erklärung: Das Landratsamt hatte bei der Ausschreibung für die PC-Beschaffung explizit auf den sogenannten Festplattenverwurf verzichtet. Damit gehen defekte oder ausgetauschte Festplatten und SSDs in den Besitz des Lieferanten über – hier also Hyrican. Nur wenn in der Ausschreibung explizit „Festplattenverwurf“ vereinbart wurde, verbleiben ausgebaute Datenspeicher im Besitz der Behörde und werden dort dann üblicherweise direkt vernichtet.

Ohne Festplattenverwurf ging unsere SSD also zurück an den PC-Hersteller Hyrican. Von dort gelangte das Laufwerk zusammen mit 32 weiteren defekten SSDs des gleichen Typs an den Distributor Api. Natürlich baten wir auch dort um Stellungnahme. Wir wollten wissen, wie die von Hyrican zurückgeschickte SSD anscheinend ungeprüft und ungelöscht wieder in den Handel geraten konnte. Doch bei Api zeigte man sich wenig auskunftsfreudig: Man habe aktuell kein Interesse an einer Kommunikation mit der Presse, ließ man uns telefonisch mitteilen.

Trotzdem baten wir per Fax und E-Mail um Stellungnahme. Die Antwort kam dann in Form eines Anwaltsschreibens. Die Kanzlei ließ uns wissen, dass Api nach unserer Anfrage eine Verdachtsmeldung nach Artikel 33 DSGVO beim zuständigen Datenschutzbeauftragten für Nordrhein-Westfalen abgegeben habe. Nach dieser Vorschrift müssen Datenpannen vom Verantwortlichen binnen 72 Stunden nach Kenntnis der zuständigen Aufsichtsbehörde gemeldet werden. Geschieht dies nicht, drohen hohe Bußgelder. Weiter erklärten die Anwälte, dass Api die SSD einer einfachen, rein technischen Funktionsprüfung unterzogen habe. Nachdem dabei keine Fehler festgestellt worden seien, habe man die SSD als B-Ware an die ITK Computer GmbH, einer Tochtergesellschaft von Api, weiterverkauft. ITK habe die SSD wiederum an einen gewerblichen Händler als B-Ware veräußert. Nennen wollte das Unternehmen den Händler freilich nicht.

Dennoch scheint der Weg der SSD von der Coburger Zulassungsstelle zu eBay damit hinreichend geklärt zu sein: Auf Nachfrage bestätigte nämlich der eBay-Händler, dass er die von ihm angebotenen SSDs von der Api-Tochter erworben hatte.

Polizeiarbeit

Parallel zu unseren Nachforschungen tat sich auch bei den Ermittlungsbehörden etwas: Die Zentralstelle Cybercrime Bayern mit Sitz in Bamberg übernahm das Ermittlungsverfahren von der Kriminalpolizei Coburg. Als erste Amtshandlung verfügte man eine Beschlagnahmung der SSD. Nachdem unsere Recherchen rund um die Daten und den Weg der SSD ohnehin abgeschlossen waren, gab es für die Redaktion keinerlei Gründe, hier nicht mit den Ermittlungsbehörden zusammenzuarbeiten.

Zwei Mitarbeiter der Kriminalpolizei besuchten wenig später die c’t-Redaktion und nahmen das Corpus Delicti in Empfang – wir sind nun sehr gespannt, was die weiteren Ermittlungen der Zentralstelle Cybercrime Bayern ergeben und welche Konsequenzen das Datenleck für die Beteiligten haben wird.

Was nun, Landratsamt Coburg?

Unabhängig davon bleibt die Frage nach den Lehren, die die Zulassungsstelle und das Landratsamt Coburg aus dem Vorfall ziehen. Schließlich förderten unsere Recherchen einen geradezu leichtsinnigen Umgang mit den Daten von Bürgern zutage. Warum, so fragten wir uns, waren überhaupt Bürgerdaten auf den lokalen PCs der Mitarbeiter gespeichert? Warum erfolgte das auch noch unverschlüsselt, wo die verwendete Windows 10-Version (Windows 10 Enterprise 2016 LTSB, 6.3.14393) mit Bitlocker doch eine recht sichere Möglichkeit der Verschlüsselung bietet? Darüber hinaus erscheinen auch die internen Abläufe in der Zulassungsstelle und im Jugendamt nicht datenschutzkonform. Weder E-Mails noch Schreiben an Bürger gehören auf lokale Rechner und dass man Zugangsdaten nicht per unverschlüsselter E-Mail in der Behörde verteilt, sollte eigentlich klar sein.

Für den Fachbereich Informations- und Kommunikationsmanagement des Landratsamts Coburg ging Matthias Aust auf unsere Fragen ein. Die im Landratsamt verwendete Technik in Verbindung mit der in der Zulassungsstelle verwendeten Hardware lasse aktuell die Nutzung von Bitlocker nicht zu, da man den Software-Rollout derzeit nur im Legacy-Modus durchführen könne. Es gäbe Probleme mit dem TPM in diesem Betriebsmodus. Das klingt zwar nachvollziehbar, doch warum man dann komplett auf eine Verschlüsselung der lokalen SSDs verzichtet, leuchtet uns nicht so recht ein. Schließlich gibt es neben Bitlocker noch andere Verschlüsselungslösungen für Windows-PCs.

Die Nutzung des Exchange Cache Modus erklärt Matthias Aust mit der Umstellung des Mailservers von Outlook 2010 auf Outlook 2016. Beim Zugriff auf Mails habe es danach teils erhebliche Performanceprobleme bei der Kommunikation zwischen dem Server und den Clients gegeben. Da das Problem auch nach Hinzuziehung eines externen Systemhauses nicht in den Griff zu bekommen war, habe man sich notgedrungen für die lokale Zwischenspeicherung der Mails entschieden.

Wegen der Auffälligkeiten beim Dokumentenmanagement-System der Zulassungsstelle habe man den Hersteller der Software kontaktiert. Ein Ergebnis läge noch nicht vor.

Seit Jahresbeginn würde im Landratsamt Coburg an der Erarbeitung eines Informationssicherheitskonzepts nach ISIS12-Methodik (Informations-Sicherheitsmanagement-System in zwölf Schritten) gearbeitet. Der aktuelle Fall mache laut Aust deutlich, dass es richtig war, dem Thema Informationssicherheit einen höheren Stellenwert einzuräumen. Bei zukünftigen Ausschreibungen für Behörden-PCs, auf denen sensible Daten verarbeitet werden, werde man zudem wohl nicht mehr auf den „Festplattenverwurf“ verzichten. (gs)

Dieser Artikel stammt aus c't 1/2020

Update: Es ist nicht das Jugendamt der kreisfreien Stadt Coburg betroffen, sondern die des Jugendamtes des Landratsamtes Coburg, also des Landkreises. Die entsprechende Textstelle wurde korrigiert.


Quelle: https://heise.de/-4615144


PS: Rechtlich dürfte das schon mal besonders schwerer Fall der Verletzung also Bruch der Sorgfaltspflicht im Umgang mit sensiblen und persönlichen Daten sein, nicht nur strafbar gemäß DSGV, diverser Datenschutzgesetze und GG und Beamtengesetz.....
Weiterhin hat der Verkäufer vorsätzlichen BETRUG begangen da diese (und wohl noch so manche andere) SSD als "Neuwertig aus KundenRETOUREN" angeboten und verkauft wurde.

__________________
***Multifeed Triax Unique 3°E>28°E & motorized FiboStøp120***
F-16, Mio 4K, OpenBoxen, VU+Solo 4K & Blindscan, DVB-S2X/T2 Cards

Ich bremse nicht für Schnarchroboter. ®²º¹³ Muad'Dib
CARPE DIEM!Alle meine posts stellen meine persönliche und freie Meinungsäußerung dar.
22.12.2019 16:42 Muad'Dib ist offline E-Mail an Muad'Dib senden Beiträge von Muad'Dib suchen Nehmen Sie Muad'Dib in Ihre Freundesliste auf

Neues Thema erstellen Antwort erstellen
Satclub-Thueringen » Allgemeines » Off - Topic » „c't“: Zehntausende Bürgerdaten auf SSD-Speicher bei eBay entdeckt Baumstruktur | Brettstruktur

Views heute: 26.777 | Views gestern: 52.637 | Views gesamt: 152.025.336


Satclub Thüringen seit 01.07.1992 = Online seit Tage

  Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab GmbH .: Impressum :.