In der vergangenen Woche sorgte die Ausländerbehörde der Stadt Lübeck ungewollt für Schlagzeilen. Grund dafür ist eine Festplatte, die ursprünglich von der Behörde stammt und via Ebay einen neuen Eigentümer fand. Experten staunten nicht schlecht, als sie auf dem Datenträger gut 33.000 E-Mails und personenbezogene Daten entdeckten.
Bei Hardware-Entsorgung nicht genug auf den Datenschutz geachtet
Beim Käufer handelt es sich um eine Person, die mehrere gebrauchte Computer für ein Unternehmen erstand. Die Hardware wurde nicht von der Stadt Lübeck vermarktet, sondern über einen kommerziellen Ebay Händler. Laut Angabe des Händlers sollten die Computer ohne Festplatten geliefert werden, doch in einem System war die Festplatte noch enthalten.
Der Käufer musste die Festplatte gar nicht erst ausbauen, um mehr über die gespeicherten Daten zu erfahren. Stattdessen fuhr er den Gebrauchtcomputer einfach hoch, worauf hin sich ein Windows-Bildschirm mit Hintergrundbild der Hansestadt meldete. Weitere Forschungen wollte der Käufer nicht anstellen. Stattdessen schickte er die Festplatte an die c‘t Redaktion.
Jede Menge sensible Daten
Im Labor der c‘t Redaktion wurde das Laufwerk genauer unter die Lupe genommen. Die 1. Feststellung: Es liegt keine Verschlüsselung vor, die gespeicherten Daten können direkt ausgelesen werden.
Umfassende Details zur Herkunft des Computers lieferten die Ordner von Microsoft Outlook. Das beliebte Mail-Programm war so konfiguriert, dass es Mails nicht über einen zentralen Server managt, sondern diese lokal speichert. So konnten die Redakteure auf über 33.000 E-Mails zugreifen.
Den Daten zufolge stammte der Computer von der Lübecker Ausländerbehörde. Aus zahlreichen Dateien geht hervor, mit welch unterschiedlichen Fällen sich verschiedene Mitarbeiter der Behörde auseinandersetzen mussten und welche konkreten Betroffenen im Mittelpunkt stehen.
Die Problematik hätte leicht vermieden werden können
Man könnte meinen, dass eine einzelne verloren gegangene Festplatte kein allzu großes Problem darstellt. Doch am Ende steht der besagte Fall für eine gewaltige Datenpanne, die streng genommen hätte gut verhindert werden können. Hierfür würden sich verschiedene Maßnahmen anbieten:
Konfiguration der Software: In Umgebungen wie einer Behörde, werden Daten am besten gar nicht erst dezentral auf den Workstations der Anwender gespeichert, sondern zentral. Käme eine Festplatte im Umlauf, würden sich darauf keine kritischen Daten befinden. Voraussetzung hierfür ist eine entsprechende Konfiguration der Software, die sich nicht auf Outlook beschränkt, sondern die gesamte Arbeitsumgebung berücksichtigt.
Verschlüsselung des Datenträgers: Für den Fall, dass trotzdem personenbezogene oder andere sensible Daten auf dem Laufwerk gespeichert werden, sollte es verschlüsselt sein. Angenommen es käme in die Hände von Unbefugten, so könnten diese die Daten nicht ohne weiteres auslesen.
Kontrollierte Entsorgung alter Hardware: Vermutlich hätte niemand die unzureichende Konfiguration in Verbindung mit der fehlenden Verschlüsselung bemerkt, wäre das Laufwerk nicht in Umlauf geraten. So etwas lässt sich mit einer fachgerechten Entsorgung der Hardware sicherstellen. Es wäre z.B. möglich, auf zertifizierte Anbieter zu setzen. Ebenso könnten sensible Komponenten (Festplatten und andere Datenspeicher) auch inhouse entnommen und beispielsweise mit einem Degaußer unbrauchbar gemacht werden.
Fazit: Datenpannen lauern an zahlreichen Stellen
Schlussendlich macht der Fall deutlich, welch große Auswirkungen kleine Prozesse im IT-Umfeld haben können. Wer seine Risiken minimieren will, hat daher keine andere Wahl, als sich mit den Prozessen auseinanderzusetzen und auf Basis eines ganzheitlichen Konzepts zu arbeiten. Nur so lässt sich gewährleisten, dass Datenschutz und IT-Sicherheit optimal umgesetzt werden und ineinandergreifen.