Category Archives: Datenpanne

Datenpanne: Offener Newsletter-Verteiler führt zu Bußgeld – Augen auf beim Direktmarketing

By | 21. August 2017

Schon jedem Mal passiert – Newsletter oder Email an viele Empfänger verschickt

Sie ken­nen das bestimmt aus Ihrem eige­nen Arbeits­all­tag. Eine wich­ti­ge Nach­richt soll per Email oder News­let­ter ver­teilt wer­den. Mail- oder News­let­ter-Pro­gramm geöffnet, Text geschrie­ben, aus dem Adress­buch schnell die Empfänger zusam­men­ge­klickt oder kom­for­ta­bel eine Ver­tei­ler-Lis­te genutzt und auf Sen­den gedrückt. Auf Sei­ten des Empfängers wer­den sich dann die Augen gerie­ben. Ste­hen doch alle Email-Empfänger im Klar­text im AN:/TO: Feld der Email. Ordent­lich wie der Absen­der sei­ne Adres­sen gepflegt hat, akku­rat mit Vor-, Nach­na­me und Email-Adres­se. Üblicherweise macht man den Absen­der freund­lich auf sein Miss­ge­schick auf­merk­sam und läßt es dar­auf beru­hen.

Offene Newsletter-Verteiler kommen nicht immer gut an

Die Mit­ar­bei­te­rin eines baye­ri­schen Han­del­un­ter­neh­mens hat­te weni­ger Glück. Sie schrieb eine sol­che Email an Kun­den des Unter­neh­mens. Kur­zer Inhalt, net­te Ges­te. Jedoch lei­der stan­den vor dem eigent­li­chen Text (hal­be DIN A4 Sei­te) über neun (9!) Sei­ten Email-Adres­sen im Klar­text. Einem oder meh­re­ren Empfängern miß­fiel dies und der Stein des Ansto­ßes wur­de an die zuständige baye­ri­sche Landesdatenschutzbehörde wei­ter­ge­lei­tet.

Landesdatenschutzbehörde prüft offene Newsletter-Verteiler und verhängt Bußgeld

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (kurz BayL­DA) hat in der Ver­gan­gen­heit bereits mehr­fach über die eige­ne Web­sei­te und auf Ver­an­stal­tun­gen vor und mit Unter­neh­men auf die daten­schutz­recht­li­che … Weiterlesen

Datenpanne bei HIPP – Name, Anschrift und Passwörter betroffen

By | 10. Juni 2016

Das Bonus­pro­gramm “Mein Baby­Club” des bekann­ten Baby­nah­rung­her­stel­lers HIPP wur­de online ange­grif­fen und erfolg­reich gehackt. Der Anbie­ter infor­miert der­zeit die Teil­neh­mer über den Sach­ver­halt, gibt jedoch kei­ne wei­te­ren Details bekannt. Laut den von HIPP ver­sand­ten Emails an Nut­zer des Pro­gramms wur­den Anfang Mai Unre­gel­mä­ßig­kei­ten im Ser­ver­be­trieb fest­ge­stellt. Die­se wür­den auf einen erfolg­rei­chen Hack hin­deu­ten, durch den Namen, Anschrif­ten, Geburts­da­ten, aber auch Pass­wör­ter von den Sys­te­men des Anbie­ters abge­zo­gen wur­den. Die zustän­di­ge Lan­des­da­ten­schutz­be­hör­de sei infor­miert.

Auf­la­gen durch das IT-Sicher­heits­ge­setz

Unab­hän­gig von der Ursa­che für die­sen Hack sind Web­sei­ten­be­trei­ber ver­pflich­tet, not­wen­di­ge Schutz­maß­nah­men zu ergrei­fen, um Daten vor unbe­rech­tig­ten Zugrif­fen zu schüt­zen. Für Web­auf­trit­te heißt es daher, sowohl den Web­ser­ver als auch die Con­tent Manage­ment Soft­ware oder das Shop Sys­tem stets mit aktu­el­len Updates und Sicher­heits­patches aus­zu­stat­ten. Ein regel­m­ßi­ger Blick in die Log­files zwecks Ana­ly­se auf Sicher­heits­ver­stö­ße kann eben­falls nicht scha­den.… Weiterlesen

Datenpanne bei DuMont: Benutzernamen und Passwörter frei einsehbar

By | 11. April 2016

Am gest­ri­gen Sonn­tag wur­de gemel­det, Nut­zer­kon­ten samt Daten von regis­trier­ten Nut­zern der Web­sei­te des DuMont-Ver­lags stan­den stun­den­lang unge­schützt im Netz. Wäh­rend der Ver­lag von einem Hacker­an­griff spricht, scheint eini­ges für inter­ne Schlam­pe­rei zu spre­chen (spiegel.de)

Der Ver­lag nahm die betrof­fe­nen Web­sei­ten eini­ge Stun­den nach Mel­dung der Daten­pan­ne off­line. Sie sol­len im Lau­fe des heu­ti­gen Tages wie­der ans Netz gehen. Fatal: Neben den Benut­zer­na­men waren die Pass­wör­ter im Klar­text abge­spei­chert. Nach eige­nen Anga­ben des Ver­lags wur­den die Pass­wör­ter der betrof­fe­nen Accounts zurück­ge­setzt.… Weiterlesen

Patientendaten gehackt – Gesundheitskarte nach wie vor unsicher

By | 14. März 2016

Die RP Online mel­det letz­te Woche, dass es nach eige­nen Tests nach wie vor gro­ße Sicher­heits­lü­cken bei der Gesund­heits­kar­te gibt. Pati­en­ten­da­ten sind nach wie vor nicht sicher, hat deren Über­prü­fung erge­ben. Die Redak­ti­on konn­te mit weni­gen Maus­klicks und eini­gen Anru­fen bei der für den Test aus­ge­wähl­ten Bar­mer GEK ohne Pro­ble­me, Infor­ma­tio­nen über Arzt­be­su­che und Medi­ka­men­ta­tio­nen abfra­gen.

Wie RP Online berich­tet, ist dies bereits der fünf­te Fall in den letz­ten 20 Mona­ten, in dem es durch das ein­fach struk­tu­rier­te Anmel­de-Ver­fah­ren zu den Online-Ser­vices der Kran­ken­kas­sen (dar­un­ter neben der Bar­mer GEK auch die AOK) zum voll­stän­di­gen Zugriff auf das Ver­si­cher­ten-Pro­fil kom­men kann. Was dazu nötig ist? Es rei­chen Name, Geburts­da­tum, Ver­si­cher­ten­num­mer, eine neu auf den Namen des Ver­si­cher­ten aus­ge­stell­te Email-Adres­se bei einem belie­bi­gen Anbie­ter sowie ein Tele­fo­nat mit der Ver­si­che­rung.

Doch das ist nicht neu. Bereits 2014 wur­de die­se Vor­ge­hens­wei­se als Schwach­stel­le auf­ge­deckt, die Kran­ken­kas­sen infor­miert. 2015 war der Vor­gang immer noch nach­voll­zieh­bar (sie­he ZDF Videobei­trag). Getan hat sich seit­her wenig bis nichts. Daher ist auch die Bun­des­da­ten­schutz­be­auf­trag­te, Andrea Voß­hoff “not amu­sed”.

 … Weiterlesen

Krankenhaus in NRW fängt sich Krypto-Trojaner

By | 11. Februar 2016

Das Lukas­kran­ken­haus in Neuss wur­de von einem Kryp­to-Tro­ja­ner befal­len. Aus­ge­löst hat die Ver­schlüs­se­lung aller Datei­en wohl ein unvor­sich­ti­ger Mit­ar­bei­ter, der einen infi­zier­ten Email-Anhang öff­ne­te. Die Sys­te­me wur­den run­ter­ge­fah­ren, Ope­ra­tio­nen ver­scho­ben. Mehr lesen Sie auf unse­rem Blog zur Infor­ma­ti­ons­si­cher­heit.Weiterlesen

Hackerangriffe nehmen weiter zu – 4,5 Millionen Patientendaten entwendet

By | 19. August 2014

Com­mu­ni­ty Health Sys­tems, ame­ri­ka­ni­scher Betrei­ber von 206 Kran­ken­häu­sern in 29 Bun­des­staa­ten, oute­te sich die­se Woche. Man sei Opfer einer erfolg­rei­chen Hacker-Atta­cke gewor­den.
Gegen­über der US Auf­sichts­be­hör­de SEC gab der Betrei­ber an, zwi­schen April und Juni von einer wahr­schein­lich aus Chi­na ope­rie­ren­den Grup­pe erfolg­reich gehackt wor­den zu sein. Bei den ent­wen­de­ten Daten soll es sich um nicht-sen­si­ble Infor­ma­tio­nen gehan­delt haben. Betrof­fen sind Pati­en­ten von Ärz­ten, mit denen der Betrei­ber in den letz­ten fünf Jah­ren zusam­men­ge­ar­bei­tet habe. Man ver­mu­tet einen Zusam­men­hang mit frü­he­ren Atta­cken, bei denen min­des­tens 140 Unter­neh­men in den USA, Kana­da und Groß­bri­tan­ni­en Angriffs­ziel waren.

Sind Daten in Ihrem Unter­neh­men sicher? Ana­ly­sen der letz­ten Mona­te zei­gen, nicht nur gro­ße Kon­zer­ne und Unter­neh­men ste­hen im Fokus sol­cher Angrif­fe. Voll­au­to­ma­ti­siert wer­den von außen über das Inter­net Schwach­stel­len in Unter­neh­mens­net­zen abge­scannt und ziel­ge­rich­tet pene­triert. Oft mit Erfolg und meist ohne Kennt­nis der betrof­fe­nen Unter­neh­men. Ger­ne unter­stüt­zen wir Sie bei der Über­prü­fung und Absi­che­rung Ihres Fir­men­netz­wer­kes zusam­men mit unse­ren Part­nern für IT-Sicher­heit.

Quel­le: Bei­trag auf recode.netWeiterlesen

Offener Email-Verteiler führt zu Bußgeld gegen Unternehmen

By | 5. August 2014

Datenpanne (c) Sascha KuhrauSchon jedem Mal pas­siert

Sie ken­nen das bestimmt aus Ihrem eige­nen Arbeits­all­tag. Eine wich­ti­ge Nach­richt soll per Email ver­teilt wer­den. Mail­pro­gramm geöff­net, Text geschrie­ben, aus dem Adreß­buch schnell die Emp­fän­ger zusam­men­ge­klickt oder kom­for­ta­bel eine Ver­tei­ler-Lis­te genutzt und auf Sen­den gedrückt. Auf Sei­ten des Emp­fän­gers wer­den sich dann die Augen gerie­ben. Ste­hen doch alle Email-Emp­fän­ger im Klar­text im AN:/TO: Feld der Email. Ordent­lich wie der Absen­der sei­ne Adres­sen gepflegt hat, aku­rat mit Vor-, Nach­na­me und Email-Adres­se. Übli­cher­wei­se macht man den Absen­der freund­lich auf sein Miß­ge­schick auf­merk­sam und läßt es dar­auf beru­hen.

Ihr ist das auch pas­siert

Eine Mit­ar­bei­te­rin eines baye­ri­schen Han­del­un­ter­neh­mens hat­te weni­ger Glück. Sie schrieb eine sol­che Email an Kun­den des Unter­neh­mens. Kur­zer Inhalt, net­te Ges­te. Jedoch lei­der stan­den vor dem eigent­li­chen Text (hal­be DIN A4 Sei­te) über neun (9) Sei­ten Email-Adres­sen im Klar­text. Einem oder meh­re­ren Emp­fän­gern miß­fiel dies und der Stein des Ansto­ßes wur­de an die zustän­di­ge baye­ri­sche Lan­des­da­ten­schutz­be­hör­de wei­ter­ge­lei­tet.

Fotolia_37944046_XS_roundedDer ewi­ger Mah­ner

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (kurz BayL­DA) hat in der Ver­gan­gen­heit bereits mehr­fach auf die daten­schutz­recht­li­che Unzu­läs­sig­keit eines sol­chen Vor­gangs hin­ge­wie­sen. Name plus Email-Adres­se sind per­so­nen­be­zo­ge­ne Daten im Sin­ne des Bun­des­da­ten­schutz­ge­set­zes (BDSG). Eine Über­mitt­lung (nichts ande­res stellt eine Email dar) ist daher nur zuläs­sig, wenn der Weiterlesen

Mal sehen, was der Kollege so verdient – Datenpanne bei der Telekom

By | 29. August 2013

Ver­geb­li­che Mühe

Seit Jah­ren bemüht sich die Deut­sche Tele­kom um Ver­bes­se­run­gen im Umgang mit per­so­nen­be­zo­ge­nen Daten, nicht nur auf­grund zahl­rei­cher Skan­da­le. Wie zahl­rei­che Medi­en wie n-tv nun berich­ten, hat es beim Beschäf­ti­gen­da­ten­schutz nicht ganz gereicht.

120.000 Mit­ar­bei­ter betrof­fen

Eine inter­ne Daten­bank mit Anga­ben zu fast allen Mit­ar­bei­tern des Unter­neh­mens samt Name, Anschrift und Gehalt stand einem grö­ße­ren Mit­ar­bei­ter­kreis zur Ein­sicht zur Ver­fü­gung, als eigent­lich zuläs­sig gewe­sen wäre. Die ursprüng­lich vor­ge­se­he­ne Anony­mi­sie­rung war nicht erfolgt.

Seit 2002 soll die Daten­bank in die­ser Form ver­füg­bar gewe­sen sein. Mitt­ler­wei­le wur­de sie vom Netz genom­men. Ein exter­ner Wirt­schafts­prü­fer soll die Ursa­chen und Fol­gen nun ermit­teln. Der Betriebs­rat läßt die Unter­su­chung durch einen eige­nen Anwalt beglei­ten.

Nach Unter­neh­mens­an­ga­ben hat man von einem Miß­brauch der Daten bis­her kei­ne Kennt­nis.

 

 … Weiterlesen

Notariat in Ostfildern (Baden-Württemberg) entsorgt Unterlagen im normalen Altpapierbehälter

By | 8. August 2013

Einem Notar soll­ten die The­men Schwei­ge­pflicht und Daten­schutz nicht unbe­kannt sein. Doch nicht nur auf­grund zahl­rei­cher gesetz­li­cher Vor­schrif­ten, son­dern auch auf­grund des gesun­den Men­schen­ver­stands soll­te klar sein, das nota­ri­el­le Akten und Unter­la­gen nichts im nor­ma­len Papier­ab­fall zu suchen haben.

In Ost­fil­dern im Kreis Ess­lin­gen, unweit von Stutt­gart, sah man dies wohl anders. Anwoh­ner eines Büro- und Wohn­haus­kom­ple­xes staun­ten nicht schlecht über ihren Fund. Sta­pel­wei­se Doku­men­te eines vor Ort ansäs­si­gen staat­li­chen Nota­ri­ats lagen in einem öffent­lich zugäng­li­chen Papier­müll­be­häl­ter, so mel­det es der Schwarz­wäl­der Bote in sei­ner Online-Aus­ga­be am 07.08.2013. Nach­lass­un­ter­la­gen, Tes­ta­men­te, Grund­buch­aus­zü­ge und Erb­ver­trä­ge in Kopie oder als Aus­druck für jeder­mann zugreif­bar. Als Höhe­punkt befand sich dar­un­ter eine beglau­big­te Abschrift einer Nach­lass­an­ge­le­gen­heit mit offi­zi­el­lem Sie­gel.

Das Nota­ri­at schiebt den schwar­zen Peter auf die Stadt. Die­se sei schließ­lich für die daten­schutz­kon­for­me Ent­sor­gung zustän­dig. Das weist deren Spre­che­rin ent­schie­den zurück. Man stel­le zwar die Räum­lich­kei­ten, wie es das Lan­des­ge­setz vor­sä­he, sei aber defi­ni­tiv nicht für die Ver­nich­tung von Akten des Nota­ri­ats zustän­dig.

Unab­hän­gig davon, was nun davon stimmt, bleibt die Vor­ge­hens­wei­se des Nota­ri­ats zu hin­ter­fra­gen, die Akten an einem frei zugäng­li­chen öffent­li­chen Ort zu “lagern”. Ver­lie­rer im Kom­pe­tenz­ge­ran­gel sind mal wie­der Daten­schutz und die Betrof­fe­nen, trotz ein­schlä­gi­ger Vor­schrif­ten.

Übri­gens: Ihr Daten­schutz­be­auf­trag­ter kann … Weiterlesen

Telefonnummer gesucht? Facebook hilft aus

By | 22. Juni 2013

Face­book selbst, nennt den Vor­gang “ärger­lich und pein­lich”. Der eine oder ande­re fand ihn viel­leicht sogar recht nütz­lich.

Die Grund­la­ge

Eines der “Kom­fort-Fea­tures” von Face­book besteht aus der Mög­lich­keit, das vor­han­de­ne Adress­buch samt der dar­in ent­hal­te­nen per­so­nen­be­zo­ge­nen Daten auf Ser­ver des Unter­neh­mens hoch­zu­la­den. Alter­na­tiv kann man auch sei­ne Online-Adress­bü­cher für den direk­ten Zugriff durch das ame­ri­ka­ni­sche Unter­neh­men frei­schal­ten. Um nicht selbst nach Freun­den und Bekann­ten suchen zu müs­sen, ver­glich Face­book nun die hoch­ge­la­de­nen Anga­ben mit Daten vor­han­de­ner Nut­zer. Wer all­zu sorg­los die Ein­la­den-Funk­ti­on für noch nicht auf Face­book bekann­te Kon­tak­te klick­te, sorg­te zusätz­lich für eine Flut von auf­mun­tern­den Ein­la­dun­gen per Email in hoher Takt­zahl in das Post­fach mit der Email-Adres­se des betrof­fe­nen Kon­takts. Gera­de bei geschäft­li­chen Kon­tak­ten oder auch Pati­en­ten und Kun­den von Arzt­pra­xen und Anwalts­kanz­lei­en sorg­te das regel­mä­ßig für Erhei­te­rung.

Die Pan­ne

Kam man als Face­book Nut­zer nun auf die Idee, sei­ne Daten wie­der von den Ser­vern des Unter­neh­mens abzu­ru­fen, waren die­se fein säu­ber­lich ergänzt. Wo mög­li­cher­wei­se Lücken bei Email-Adres­sen oder Tele­fon­num­mern klaff­ten, waren die­se nun aku­rat durch die Anga­ben von ande­ren Nut­zern und deren hoch­ge­la­de­nen Adress­bü­chern ver­voll­stän­digt. Kom­for­ta­bler ist die Pfle­ge der eige­nen Kon­takt­da­ten­bank doch kaum zu haben.

Was sagt Face­book dazu?

Mitt­ler­wei­le ist die­ses “Fea­ture” beho­ben. Das … Weiterlesen