Gratis
11. April 2018 - Technischer Datenschutz

Milliarden vertraulicher Datensätze öffentlich zugänglich

Drucken

Wenige Wochen vor der Frist zur Umsetzung der Datenschutz-Grundverordnung (DSGVO) haben die Sicherheitsexperten des Unternehmens Digital Shadow Milliarden vertrauliche Datensätze mit Personenbezug im Internet gefunden. Darunter Patientenlisten, Steuerunterlagen und Gehaltsabrechnungen.

1.5mrd Daten oeffentlich 1.5 Milliarden vertrauliche Daten sind öffentlich im Netz zugänglich. Das Problem sind nicht Clouds, sondern oft falsch konfigurierte NAS-Systeme (Bild: amanaimagesRF / iStock / Thinkstock)

Unternehmen und Organisationen sollten das Ergebnis der Erhebung von Digital Shadows als Hinweis sehen. Sie sollten die eigene IT-Sicherheit in Hinblick auf die DSGVO noch einmal einer kritischen Überprüfung unterziehen.

Denn diesmal fanden Sicherheitsexperten die Daten nicht im sogenannten Dark Web. Die teilweise sensiblen Informationen hätte jeder halbwegs versierte Anwender beschaffen können.

1,5 Mrd. vertrauliche Daten öffentlich

Die Erhebung führte das Unternehmen dieses Jahr von Januar bis März durch. Gesucht haben die Mitarbeiter gezielt auf falsch konfigurierten Systemen und Cloudspeichern – und sie wurden fündig.

Unter den Dateien und Dokumenten waren erstaunlich viele mit Personenbezug: Über 4.500 Patientenlisten, 60.000 Steuerunterlagen und rund 700.000 Gehaltsabrechnungen waren in den Datensätzen enthalten.

Insgesamt wurden in dem kurzen Zeitraum 1,5 Milliarden Dokumente gefunden, die als vertraulich einzustufen sind.

Mangelnde Absicherung und falsche Konfiguration

Für Experten dürfte ebenfalls das Ergebnis überraschend sein, dass lediglich 7 Prozent des Materials aus Cloud-Rechenzentren, wie Amazons S3, stammt.

Die Masse der Daten konnten die Experten aus Systemen gewinnen, deren sichere Konfiguration seit vielen Jahren beherrscht werden sollte. Dazu gehören beispielsweise die seit Jahrzehnten bewährte Übertragungsprotokolle FTP und Rsync.

Schwachstelle NAS-Systeme

Gerade kleinere mittelständische Unternehmen verzichten aus Kosten- und Komfortgründen häufig auf die Anschaffung teurer Serversysteme.

Die Industrie hat hier Netzwerkspeicher (Network Attached Storage = NAS) erfolgreich als Alternative positioniert.

Und tatsächlich stecken viele dieser Geräte voller Programme, die die Zusammenarbeit zwischen Mitarbeitern übernehmen können.

Aber auch der Datenaustausch und das Backup mehrerer Rechner sind möglich. Funktionen, die früher nur dedizierten Servern vorbehalten waren.

NAS-Geräte sind meist so konfiguriert, dass der Zugriff für Kunden schnell möglich ist. Und genau daraus resultieren dann häufig Probleme.

Um Datenlecks, wie sie Digital Shadows gefunden hat, zu vermeiden, ist es deswegen ratsam, gerade solche Systeme genauer in Augenschein zu nehmen.

Stephan Lamprecht