Schlecht gelöschte Festplatten Sensible Firmendaten per eBay-Kleinanzeigen
Gebrauchte Festplatten sollten gelöscht werden, bevor sie weiterverkauft werden. Schließlich können darauf sensible Firmendaten gespeichert sein. Eine BR-Recherche zeigt, wie einfach es ist, an solche Datensätze zu kommen.
Von Hakan Tanriverdi, Lisa Wurscher und Michael Kreil
Schon der Name des Ordners spricht für sich: "Unterlagen für das LKA". Im Ordner selbst finden sich Dokumente, die belegen sollen, dass ein Mitarbeiter betrogen hat. Auch eine Strafanzeige ist dort abgelegt, sie datiert auf Ende 2015.
In einem anderen Ordner finden sich Informationen über einen der wertvollsten Tech-Konzerne Europas: Klarna. Sowohl harmlose Dokumente sind dabei, wie firmeninterne Angebote, Englisch zu lernen, als auch Daten, die üblicherweise gut gehütet werden: Interne Präsentationen, monatliche Wachstumsraten bis hin zu Zugangsdaten, abgelegt in einer Textdatei.
Betroffen: Zahlungsdienstleister, Behörde, Automobilkonzern
Die Daten gehören einer Klarna-Tochter und befinden sich auf einer von über zwei Dutzend Festplatten, die Reportern von BR Recherche und dem ARD-Magazin Plusminus vorliegen. Sie waren auf eBay-Kleinanzeigen im Angebot. Einige Festplatten wurden dem Reporterteam zugespielt, die Quelle will anonym bleiben. Als die Reporter selbst Festplatten kaufen wollen, scheitert ein Versuch, weil der Anbieter die Festplatten nicht an Journalisten übergeben will. "Auf den Datenträgern waren mal Firmendaten", schreibt der Händler, bevor er den Kontakt abbricht.
Neben der Festplatte mit den Daten der Klarna-Tochter findet sich unter den Datenträgern, die dem BR vorliegen, auch eine Festplatte mit Bürgerdaten aus dem Einwohnermeldeamt der Gemeinde Neunkirchen-Seelscheid in der Nähe von Köln. Menschen, die das Amt besuchen, um Geburten mitzuteilen, ihre Staatsangehörigkeit zu ändern oder zu melden, dass sie ihren Personalausweis verloren haben: Ihre Daten sind auf der Festplatte verzeichnet. Dazu finden sich weit mehr als 2000 Passfotos samt Unterschriften.
Auf einer weiteren Festplatte: Daten des Automobilkonzerns Audi, sie stammen offenbar aus der Produktion. Die Daten reichen bis ins Jahr 2010 zurück, decken also einen Zeitraum von zehn Jahren ab.
Schlampige Entsorgung durch externe Dienstleister?
Wenn Unternehmen sich neue Rechner anschaffen, werden alte Bestände hin und wieder ausgelagert, zum Beispiel, weil sie nicht mehr so leistungsfähig sind. Dabei müssen aus Datenschutzgründen sämtliche Informationen vernichtet werden. Genau hier kann den ARD-Recherchen zufolge der Fehler passieren: Manche Dienstleister, die mit der Datenlöschung beauftragt werden, kommen dieser Anforderung offenbar nicht sachgemäß nach.
In einigen Fällen sind die Daten auf den Festplatten, die dem BR vorliegen, sofort nach Anschluss der Hardware verfügbar. In anderen Fällen sind die Festplatten wohl zwar formatiert worden, aber nur im Schnellverfahren. Das reicht nicht aus, auch diese Daten lassen sich wiederherstellen. Dabei sind auf praktisch allen modernen Betriebssystemen kostenlose Programme vorinstalliert, die ein sicheres Löschen von Daten ermöglichen.
Der renommierte Datenschutz-Experte Thilo Weichert sagt im Interview, dass es "keinerlei Kontrolle" gibt bei der Löschung von Daten auf Festplatten: "Weder durch die Aufsichtsbehörden und leider auch nicht von den verantwortlichen Stellen, die diese Festplatten entsorgen wollen. Insofern kann man tatsächlich feststellen, dass das Löschen von Daten oft gemäß Wildwest-Manier behandelt wird."
Ermittler spricht von "Goldgrube"
Ähnlich sieht es Jörg Gottschalk von der "Taskforce Cybercrime" bei der Polizei in Göttingen. Er bezeichnet ungelöschte sensible Daten als "Goldgrube" - sollten sie in falsche Hände geraten. Die Daten lassen sich ihm zufolge für Betrugszwecke einsetzen. "Ich kann mich überall verifizieren. Ich wüsste nicht, was ich damit nicht anstellen kann. Und wenn ich es nicht selber machen möchte, verkaufe ich die Daten", sagt Gottschalk. Auf entsprechenden Webseiten im Internet wird mit privaten Daten gehandelt.
Betroffenen suchen Ursache für Datenleck
Wie genau die ungelöschten Festplatten, die dem BR vorliegen, auf eBay-Kleinanzeigen gelandet sind, ist unklar. Ein IT-Beauftragter, der die betroffene Gemeinde Neunkirchen-Seelscheid in der Nähe von Köln betreut, erklärt, dass ein externer Dienstleister dafür zuständig sei, die Daten zu löschen. Man verwende heutzutage "fast ausschließlich" Leasing-Geräte. Ob die Festplatte auf dem Weg zur Löschung verschwunden ist oder beim externen Dienstleister nicht gelöscht wurde, lässt sich aktuell nicht nachvollziehen. Die Gemeinde hat das Datenleck bei der Landesdatenschutzbehörde gemeldet und Anzeige gegen Unbekannt erstattet. Die Staatsanwaltschaft Köln ermittelt.
Klarna untersucht Vorfall
Auf Anfrage teilt Klarna mit, man arbeite daran, den Vorfall zu untersuchen, mit "höchster Priorität": "Bei Klarna gibt es einen klaren Prozess für die Entsorgung von Festplatten, der höchsten Standards entspricht. Wir arbeiten dabei mit spezialisierten und geprüften Anbietern zusammen, die die Vernichtung uns gegenüber zertifizieren."
Audi: Festplatte aus Neckarsulm
Ein Audi-Sprecher teilt mit, dass die Festplatte aus einem "Anlagenbedienpult" in einem Werk in Neckarsulm stamme. "Im Zuge eines Software-Updates wurden dort Ende vergangenen Jahres Rechner ausgetauscht." Es habe sich um einen Anlagenrechner gehandelt, auf dem keine sensiblen Daten gespeichert waren, so Audi weiter. Deshalb unterlagen die Daten "auch nicht den besonders strengen Entsorgungskriterien".
Kaum Kontrollen in der Branche
Ein IT-Sicherheitsexperte, der namentlich nicht genannt werden will, spricht von kaum existierenden Kontrollen bei der Hardwareentsorgung: "Bei den großen Unternehmen haben sie eine ganz tolle Rechtsabteilung, die in der Regel auch die Verträge aufsetzen, aber Papier ist geduldig. Viele haben überhaupt keinen Plan davon und geben die Geräte einfach raus. Wenn ich dem Unternehmen sage, ich habe gelöscht - dann kontrollieren die das nicht nach." Seit Jahren sei er in diesem Bereich aktiv. In all der Zeit habe nur einmal ein Dax-Konzern wissen wollen, wie genau die Daten gelöscht werden.