Datenpannen – und nun?

Die Nachrichten über Internet Angriffe reißen in diesem Sommer nicht ab. „Auch 2012 wird wieder das <Jahr der Hacks> blieben“, heißt es im Editorial der Zeitschrift „Datenschutz und Datensicherheit“ (Ausgabe 09/2012) – genauso wie es IT-Experten auch schon 2011 und 2010 festgestellt hätten. Neben der Frage welche technischen Sicherheitsmaßnahmen für welche Systeme nötig sind, stellt sich für Unternehmen auch die Frage was getan werden muss, wenn es denn passiert ist und sie Opfer eines Hacker Angriffs geworden sind. Mehr von diesem Artikel lesen

Computersicherheit – Unverschlüsselte Passwörter: Massives Datenleck alarmiert Web-Firma Hetzner

Quelle: SPIEGEL ONLINE, 08.10.2011

http://www.spiegel.de/netzwelt/web/0,1518,790666,00.html

 

Bei der Hetzner Online AG, Spezialist für Web-Hosting, gab es über Monate ein massives Sicherheitsproblem. Nach Informationen des SPIEGEL waren hochsensible Daten des Unternehmens und von dessen Kunden leicht zugänglich. Listen mit Passwörtern blieben sogar unverschlüsselt.

 

Hamburg – Einer der größten deutschen Webhoster und Betreiber von Rechenzentren, das bayerische Unternehmen Hetzner Online AG, hatte über Wochen und Monate hinweg offenbar ein massives Sicherheitsproblem auf seinen Rechnern. Computerspezialisten konnten mit relativ einfachen Mitteln auf die Daten von Hetzner und Tausenden Kunden zugreifen.

 

Dem SPIEGEL liegen Datenproben vor, die belegen, dass Kundendaten, E-Mail-Korrespondenz und Bankverbindungen zugänglich waren. Selbst hochsensibler Schriftverkehr mit Polizeibehörden und Listen mit Passwörtern für diverse weitere Server des Unternehmens lagen teilweise unverschlüsselt auf den zugänglichen Rechnern.

 

Nachdem der SPIEGEL das Unternehmen am Mittwoch auf die Datenlücke aufmerksam gemacht hatte, forderte Hetzner Tausende Kunden per Brandbrief auf, ihr Passwort zu ändern. Geschäftsführer Martin Hetzner versicherte, dass eine bekannte Lücke inzwischen geschlossen sei und man daran arbeite, mögliche weitere Schwachstellen zu eliminieren.

 

Entdeckt wurde das Sicherheitsproblem von dem Mainzer Medienunternehmer Tobias Huch, der bereits vor drei Jahren in einer anderen Datenaffäre eine maßgebliche Rolle gespielt hatte. Huch hatte zuvor rund 17 Millionen Kundendaten der Telekom im Internet aufgespürt.

 

Den Fall Hetzner schätzt Huch sogar noch größer ein, weil neben den direkten Hetzner-Kunden, zu denen laut Referenzliste Unternehmen wie Sony, Buch.de oder der Internetreiseveranstalter Opodo gehören, auch deren Kunden betroffen sein könnten.

 

Die Hetzner Online AG gehört zu den größten Webhostern in Deutschland. Sie stellt Großkunden und Privatleuten Internetpräsenzen, Rechner und spezielle Programme zur Verfügung, mit denen sie dann auf relativ einfache Weise Internetgeschäfte abwickeln oder Inhalte präsentieren können.

 

Datenschutz – Hackerangriff auf US-Bank Citigroup

Quelle: focus.de, 09.06.2011

Bei der US-amerikanischen Bank Citigroup haben sich Hacker Zugang zu Kundendaten von Kreditkartenkunden verschafft. Insgesamt sollen rund ein Prozent der Kunden in den USA betroffen sein. Der Angriff sei “kürzlich” während einer Routinekontrolle entdeckt worden.

Hongkong – Auch bei der US-Bank Citigroup haben sich Hacker Zugang zu Kundendaten verschafft. Sie spähten Daten der Kreditkartenkunden der Bank aus, wie das Institut am Donnerstag mitteilte. Betroffen seien etwa ein Prozent der Kunden in den USA.

Eine Sprecherin der Bank in Hongkong nannte keine Zahl. Laut Geschäftsbericht 2010 hat die Citigroup 21 Millionen Kreditkartenkunden in Nordamerika, ein Prozent wären also 210.000 Kunden. Die Hacker hätten keinen Zugriff auf Sozialversicherungsnummern und Geburtsdaten der Kunden sowie auf Ablaufdaten und Sicherheitsnummern der Karten gehabt, versicherte die Citigroup. Der Angriff sei “kürzlich” während einer Routinekontrolle entdeckt worden.

Im asiatisch-pazifischen Raum seien keine Kunden betroffen, sagte die Sprecherin. In Deutschland hatte die Citigroup ihre Citibank wegen massiver Schwierigkeiten in der Finanzkrise 2008 an die französische Genossenschaftsbank Crédit Mutuel verkauft. Sie heißt heute Targobank. Ein Sprecher der Targobank wies darauf hin, dass das Institut nicht von dem Hackerangriff betroffen sei.

In den vergangenen Wochen waren zahlreiche Hackerangriffe auf große Unternehmen bekannt geworden. Betroffen waren etwa der japanische Unterhaltungskonzern Sony oder der US-Rüstungskonzern Lockheed Martin.

 

 

Technische Beratung in Fragen von Datensicherheit:
CIO Solutions GmbH, Berlin.

 

 

 

Weitere Datenbank von Sony angegriffen

Quelle: datenschutz.de, 03.06.2011

Erneut wurde Sony Opfer eines Angriffs auf Kundendaten: Die Gruppe “LulzSec” hat nach eigenen Angaben die Website von Sony Pictures angegriffen und hatte Zugang zu den persönlichen Daten von Administratoren, sowie Anschriften, Telefonnummern, Mailadressen und Passwörtern von über einer Million Nutzern. Darüber hinaus hatte die Gruppierung offenbar Zugang zu Gutscheincodes, sowie zu den Datenbanken der niederländischen und belgischen Zweigstellen von SonyBMG.

Der Angriff erfolgte über eine SQL-Injection-Lücke auf der Website zu dem Film Ghostbusters. Nach ersten Berichten erfolgte die Speicherung der Kundendaten auch in dieser Datenbank von Sony im Klartext. Als Beweis für die Tat haben die Täter 39.000 Kombinationen aus E-Mail-Adresse und Passwort, sowie 12.500 Kombinationen aus E-Mail-Adresse, Passwort, Anschrift und Geburtsdatum ins Netz gestellt.

Die Täter gaben an, „aus Ressourcengründen“ nicht die gesamte Datenbank kopiert zu haben, übernahmen jedoch gleichzeitig auch die Verantwortung für die kürzlich verübten Angriffe auf die Internetauftritte der Fernsehsender Fox und PBS, wobei unter anderem die Website der US-Castingshow “X-Factor” angegriffen und auf der Homepage von PBS ein falscher Artikel eingestellt wurde, wonach der 1996 getötete Rapper Tupac Shakur noch leben würde.

Sony hat den erneuten Datendiebstahl derzeit noch nicht bestätigt. “Wir untersuchen diese Angaben”, erklärte der Vizepräsident der Sony-Tochter Sony Pictures Entertainment, Jim Kennedy.

Datenskandal in Wedel

Patientendaten im Altpapier

Quelle: Wedel-Schulauer Tageblatt, 09.02.2011

Namen, Adressen, Krankheitsbilder: In Wedel (Kreis Pinneberg) fand ein sh:z-Leser sensible Kundendaten des Pflegedienstes der Arbeiterwohlfahrt (Awo) – frei zugänglich in einem Altpapier-Container.

Die Liste hat es in sich: Von Gerda A. über Rudi D. bis Gertrud S. – 53 Namen, Adressen, Telefonnummern. 53 Krankheitsbilder. Demenz, Glasknochen, Multiple Sklerose, Oberschenkelhalsbruch, Arthrose, Herzklappenfehler. 53 weitere Adressen und Telefonnummern von Familienmitgliedern oder anderen Ansprechpartnern. Alles sensible Kundendaten des Pflegedienstes der Arbeiterwohlfahrt (Awo) in Wedel (Kreis Pinneberg).

Diese Liste hat ein sh:z-Leser gefunden und an die Redaktion gesendet. Die zwei DIN-A-4-Seiten lagen neben den Altpapier-Containern auf offener Straße. Frei zugänglich. Die Daten stammen alle vom 14. Januar. “Wie ist es möglich, solch aktuelle und private Personendaten auf der Straße zu finden?”, fragt der Finder.

“Das ist ein Schock für uns”

Eine Antwort hat die Awo nicht parat. Elke Eichhorn, Pflegedienstleiterin in Wedel, ist entsetzt. Sie hat keine Zweifel: Die Liste stammt aus ihrem Unternehmen. Die Patientendaten werden den Mit arbeitern des Pflegedienstes ausgehändigt, damit sie alle notwendigen Angaben für ihre Hausbesuche haben. Eichhorn kündigte Konsequenzen an.

Auch Peter Schilling, Leiter der ambulanten Dienste im Kreis Pinneberg der Awo, hat keine Erklärung dafür, dass derart sensible, personen bezogene Daten im Altpapier landeten. “Das ist ein Schock für uns”, bekannte er gestern gegenüber unserer Zeitung. Seit 1998 arbeite er bei dem Wohlfahrtsverband. Dass sensible Patientendaten auf der Straße zu finden seien, habe es noch nie gegeben. “Eigentlich ist das nicht denkbar”, sagt er.

Awo kündigte Konsequenzen an

Alle Angestellten müssen eine Verschwiegenheits- und eine Datenschutzerklärung unterschreiben. “Die sind Bestandteil des Arbeitsvertrags”, so Schilling. Darüber hinaus würden aktualisierte Patientenlisten nur dann ausgehändigt, wenn die alten im Wedeler Büro im Schredder vernichtet werden.

Die Awo arbeitet seit gestern mit Hochdruck daran, den Schuldigen für den Daten-Skandal zu finden. Schilling kündigte zudem eine Mitarbeiterversammlung an. Sowohl Eichhorn als auch Schilling erklärten, dass derjenige, der die Patientenliste “entsorgt” hat, mit arbeitsrechtlichen Konsequenzen rechnen müsse.