c’t deckt auf: Behörden-SSD bei eBay
Archivmeldung vom 20.12.2019
Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung am 20.12.2019 wiedergibt. Eventuelle in der Zwischenzeit veränderte Sachverhalte bleiben daher unberücksichtigt.
Freigeschaltet durch Thorsten SchmittWenn eine SSD mit Zehntausenden Bürgerdaten aus der Kfz-Zulassungsstelle der Stadt Coburg und dem Jugendamt des Landkreises bei eBay als vermeintlich neuwertig verkauft wird, geht c’t der Sache auf den Grund. In Ausgabe 1/20 zeigt Europas größtes IT- und Tech-Magazin, wie diese persönlichen Bürgerdaten von einem Rechner der Zulassungsstelle im Sortiment eines eBay-Händlers gelandet sind.
„Unser c’t-Leser staunte nicht schlecht, als die angeblich neuwertige SSD vom eBay-Händler vollgestopft mit Behördenakten bei ihm im Briefkasten landete“, erzählt c’t-Chef vom Dienst Georg Schnurer. „Er bat umgehend die c’t-Redaktion darum, die Sache genauer unter die Lupe zu nehmen.“ Bei den Recherchen stellte sich heraus, dass sich darauf nicht nur jede Menge persönliche Daten von Bürgern befanden, sondern auch diverse interne E-Mails, teilweise mit Zugangsdaten zu den verschiedensten behördlichen Servern. Doch damit nicht genug: Auch die vertrauliche Korrespondenz, die eine Mitarbeiterin der Zulassungsstelle in ihrem Zweitjob beim Jugendamt des Landratsamtes Coburg führte, war auf der SSD gespeichert.
Wie die weiteren Recherchen bei der Zulassungsstelle in Coburg ergaben, hatte es im Sommer Probleme mit der SSD gegeben. Ein IT-Dienstleister wurde mit dem Austausch beauftragt und stellte auch eine Löschungsbescheinigung für die defekte SSD aus. „Wir fragten beim Dienstleister nach, wie die Daten auf der SSD gelöscht wurden“, erklärt Schnurer, „und es stellt sich heraus, dass das gewählte Verfahren für Laufwerke mit magnetischer Datenspeicherung zwar geeignet sein mag, nicht jedoch für SSDs, die über interne Reservesektoren verfügen.“
Die vermeintlich defekte SSD wurde nicht vernichtet, weil das Landratsamt bei der Ausschreibung für die PC-Beschaffung explizit auf den sogenannten Festplattenverwurf verzichtet hatte. Damit gehen defekte oder ausgetauschte Festplatten und SSDs in den Besitz des Lieferanten über. Dieser wiederum unterzog die SSD einer einfachen Funktionsprüfung und verkaufte sie dann als B-Ware weiter an einen gewerblichen Händler.
Das Landratsamt Coburg arbeitet bereits an einem neuen Informationssicherheitskonzept und bei zukünftigen Ausschreibungen für Behörden PCs werde man auch nicht mehr auf den Festplattenverwurf verzichten. „Inzwischen hat die Zentralstelle Cybercrime Bayern die Ermittlungen übernommen“, so Schnurer. „Wir sind nun sehr gespannt, was die weiteren Ermittlungen ergeben und welche Konsequenzen das Datenleck für die Beteiligten haben wird.“
Quelle: Heise Gruppe GmbH & Co. KG