Gratis
27. Juli 2018 - Technisch-organisatorische Maßnahmen

47.000 sensible Dokumente von Autobauern frei zugänglich

Und wieder geraten namhafte Unternehmen in die Schlagzeilen, weil sensible Dokumente von Kunden öffentlich über das Netz verfügbar waren. Diesmal hat es die Automobilbranche in den USA getroffen.

Zu geringe Sicherheitsmaßnahmen bei Autobauern in den USA Nicht nur Kunden- und Mitarbeiterdaten, auch Produktions-Informationen waren frei im Internet zu finden (Bild: Zapp2Photo / iStock / Getty Images)

Über das große Datenleck hat zuerst die New York Times berichtet. Demnach waren einige Zehntausend Dokumente mit einem Volumen von über 150 Gigabyte öffentlich im Internet abrufbar.

Die Dokumente stammen aus den Beständen bekannter Automobil-Hersteller wie Fiat Chrysler, Ford, General Motors, Tesla, Toyota und Volkswagen.

Selbst Kopien von Führerscheinen öffentlich

Bei den Daten handelte es sich in erster Linie um technische Informationen zu Produktionsabläufen, aber auch um sensible Geschäftsgeheimnisse.

Außerdem waren Verträge, Arbeitspläne und Verschwiegenheits-Verpflichtungen sowie persönliche Daten wie eingescannte Führerscheine und Pässe von Mitarbeitern im Fund enthalten.

Nicht bekannt ist derzeit, ob Dritte auf diese Daten zugegriffen haben.

Datenleck bei Dienstleister der Unternehmen

Laut Medienberichten ist der Ursprung des Datenlecks ein ungesicherter Backup-Server des Unternehmens „Level One Robotics and Controls“. Das kanadische Unternehmen ist als Dienstleister von Industrie-Fertigungslinien für die Autoindustrie tätig.

Warum die Dokumente offen im Internet zugänglich waren, ist noch nicht bekannt. Eine Stellungnahme der betroffenen Unternehmen liegt nicht vor.

Entdeckung nach Hinweisen

Der Sicherheitsforscher Chris Vickery ist beim kalifornischen Sicherheitsunternehmen UpGuard beschäftigt, um Bedrohungsanalysen zu prüfen. Er war nach Angabe der New York Times im Internet auf Informationen gestoßen, die als vertraulich deklariert waren.

Bei seinen weiteren Nachforschungen hatte er dann die Dokumente entdeckt und die betroffenen Unternehmen verständigt. Die Dateien wurden daraufhin innerhalb eines Tages vom Netz genommen.

Sorglosigkeit als mögliche Ursache

Zwar lässt sich über den genauen Hergang, wie es zu dem Datenleck gekommen ist, derzeit nur spekulieren. Aber die wahrscheinlichste Ursache dürfte in der Sorglosigkeit der Verantwortlichen zu suchen sein.

Ein vergleichbarer Fall im Geltungsbereich der Datenschutz-Grundverordnung (DSGVO) könnte für die Unternehmen empfindliche Sanktionen nach sich ziehen.

Denn sensible Dokumente wie die Ablichtungen von Führerscheinen weder zu verschlüsseln, noch auf einem besonders gesicherten Server abzulegen, wäre mit den im Gesetz vorgesehenen nötigen technisch-organisatorischen Maßnahmen unvereinbar.

Gerade Datenlecks bei Dienstleistern sind für Unternehmen immer unangenehm. Bleiben sie doch gegenüber den Betroffenen verantwortlich für die Einhaltung von Datenschutz und Datensicherheit.

Deswegen kann es für Datenschutzbeauftragte durchaus sinnvoll sein, sich nicht nur auf die schriftlichen Zusagen eines Dienstleisters zu verlassen. Sondern sich die Gegebenheiten gemeinsam mit fachkundigen IT-Experten vor Ort genau anzusehen.

Stephan Lamprecht