Alle Datenpannen, in denen es um Personaldaten geht
06.09.2010
“This incident shows yet again why data on USB drives must always be encrypted,” schreibt The Register. Der aktuelle Fall dreht sich um einen USB-Stick der Greater Manchester Police, welchen ein Bürger auf der Straße in der Nähe eines Polizeireviers im Städtchen Stalybridge fand.
Eine Analyse auf dem heimischen PC ergab, dass sich auf dem Datenträger Material für Anti-Terror-Trainings und Personalakten befanden – natürlich unverschlüsselt.
10.07.2010
Wie das Blog Hackerinfo berichtet sind Server der Firma Penny-Markt GmbH frei aus dem Internet erreichbar. Neben Informationen zu Geschäftsabläufen und Planungen sowie Daten zur gesamten IT-Infrastruktur des Unternehmens, fand sich auch eine Liste mit Mitarbeiternamen und deren E-Mail-Adressen. Nach Informationen der REWE-Group, zu welcher Penny gehört, handelt es sich bei dem Server um eine unerlaubte Kopie eines ehemaligen Mitarbeiters in Bulgarien. Solche Vorfälle könnten in einem so großen Unternehmen niemals ausgeschlossen werden.
10.05.2010
Immer wieder gelangen Kriminelle mühelos an sensible Daten, weil Datenträger unachtsam entsorgt werden. Zumindest einige der ausgedienten Festplatten des Traunsteiner Finanzamtes kaufte zum Glück ein ehrlicher Bauunternehmer. Nach dessen Angaben war sofort nach dem Einbau von zwei Festplatten zu erkennen, dass diese zuvor der Behörde gehörten. Dort hatte man sich offenbar nicht einmal die Mühe gemacht, die Festplatten auf herkömmliche Weise zu löschen, geschweige denn die Daten sicher zu entfernen.
Nachdem der Käufer die beiden Festplatten der Polizei übergeben hatte, besorgte er auf dem gleichen Flohmarkt neue. Auch diese enthielten wieder Daten des Finanzamtes in Traunstein. Da die Behörden verpflichtet sind, solche Daten zu vernichten, ermittelt nun die Polizei.
Auf den Festplatten befanden sich Listen von Steuersündern, Unterlagen über Steuerstrafverfahren, Vollstreckungsbescheide, Übersichten über Steuerbescheide, eine Übersicht über Steuersünder, Unterlagen über die Einnahmen eines Finanzamtes, ein Verzeichnis über die Käufer von rund 500 Waffen, sowie Angaben zu Fehlzeiten von Mitarbeitern und zu einem Disziplinarverfahren.
06.05.2010
Nur eine Woche, nachdem die britische Datenschutzbehörde den National Health Service (NHS) zum schlechtesten Missetäter, bezüglich Datenpannen, gekürt hatte, zeigt dieser erneut, dass daraus keine Lehren gezogen wurden. Die NHS ist für knapp ein Drittel aller staatlichen Datenpannen, im Königreich in den lezten zwei Jahren, verantwortlich. Nun wurde vor einem schottischen Supermarkt ein USB-Stick gefunden, welcher Patientendaten von einer Klinik im Gebiet um Falkirk enthielt.
Bei der Klinik handelt es sich um eine Einrichtung für Patienten mit geistigen Problemen. Es ist nicht bekannt, welche Daten sich genau auf dem Stick befanden. ITPro berichtet, dass es sich auch um Angaben zu von diesen Personen begangene Straftaten und Personaldaten gehandelt haben soll.
Der USB-Stick war weder verschlüsselt, noch anderweitig geschützt.
08.02.2010
Nach Angaben des Norddeutschen Rundfunks sind dem Finanzdienstleister AWD wieder 12.000 Personendatensätzen entwendet worden. Zu den Angaben dieses Mal gehören persönliche Angaben, Rufnummern, Berufsbezeichnungen sowie Details aus abgeschlossenen Versicherungsverträgen. Zu mehreren hundert Kunden liegt auch die Kontoverbindung. Ergänzend sind einige Angaben zu ehemaligen und aktiven Mitarbeitern aufgetaucht.
19.11.2009
Der us-amerikanische Krankenversicherer Health Net hat bereits im Mai eine tragbare Festplatte mit zahlreichen Kundendaten verloren – wie so oft unverschlüsselt.
Die Datenbank enthielt Sozalversicherungsnummern, Bankverbindungen und medizinische Daten von 1,5 Millionen Patienten. Außerdem waren persönliche Daten von etwa 5.000 Ärzten enthalten.
Der Fall wurde erst jetzt öffentlich, da die Versicherungsgesellschaft sechs Monate benötigte um herauszufinden, was für Daten sich vermutlich auf der Platte befanden. Außerdem wurde das Sicherheitsrisiko heruntergespielt, indem behauptet wurde, dass die Daten mit einem speziellen Verfahren komprimiert seien, für das nur Health Net die entsprechende Dekomprimierungssoftware hätte.
29.10.2009
Ein Steuerprüfer des Münchener Finanzamts veröffentlichte versehentlich die Gehaltsabrechnungen von 39 Aufsichtsratsmitgliedern der Münchener Stadtwerke.
Der Prüfer beabsichtigte einige Dokumente per E-Mail zu versenden. Durch ein Missgeschick ging die Mail allerdings nicht an seine Kollegen, sondern an einen firmeninternen Verteiler der Stadtwerke. Die Abrechungen wurden dadurch einem großen Teil der Mitarbeiter der Stadtwerke zugänglich.
Die Steuerbehörde hat sich inzwischen für die unbeabsichtigte Transparenz entschuldigt.
27.10.2009
Kriminelle konnten in die Online-Stellenbörse der britischen Tageszeitung “The Guardian” eindringen und hatten somit potentiellen Zugriff ca. eine halbe Million Datensätze von Bewerbern gehabt, inklusive Lebensläufe. Die betroffenen Anwender wurden per E-Mail informiert. Die amerikanische Seite des Guardians ist allerdings nicht betroffen.
Die Lücke soll bereits geschlossen werden, allerdings schweigt die Zeitung, wie die Eindringlinge in das System eingedrungen worden sind.
24.10.2009
Beim irischen Ableger der Discountkette Lidl war zeitweise ein Server von außen zugänglich. Unbekannte hatten sich von dort offensichtlich große Mengen brisanter Daten beschafft und diese dann einem ehmaligen Lidl-Mitarbeiter zugespielt.
Der Ex-Mitarbeiter, ein Deutscher der für das Irlandgeschäft zuständig war, berichtet von einer Festplatte mit mehr als 200.000 Dokumenten. Darunter Umsatzzahlen, Einkaufsplanungen, Schriftverkehr zwischen dem Unternehmen und Ärzten der Mitarbeiter, Krankmeldungen, Diagnosen und Abmahnungen von Beschäftigten.
Wie die Rheinische Post berichtet soll Lidl zunächst kein Interesse an dem Fall gehabt haben. Plötzlich droht der Konzern jetzt aber mit rechtlichen Schritten gegen den ehemaligen Mitarbeiter.
17.10.2009
Der Finanzdienstleister AWD räumte nun noch ein anderes Datenleck ein. Bereits zu einem früheren Zeitpunkt sollen Daten von 1500 Mitarbeitern an die Öffentlichkeit gelangt sein.
Laut Neue Westfälische Zeitung sind die Daten bereits 2003 und 2004 im Internet aufgetaucht. Es handelt sich dabei um eine Liste mit Kontoständen und dem Umsatz einzelner Angestellter von AWD. Enthalten sind unter anderem auch die Personalnummern, Namen, Beginn des Arbeitsverhältnisses, Vergütungsstufe, Darlehen, Vorschüsse und monatliche Einnahmen.
AWD vermutet hinter dieser Veröffentlichung einen Rachefeldzug.