Datenpanne

Als Datenpanne oder Datenleck bezeichnet man einen Vorfall, bei dem Unberechtigte Zugriff auf eine Datensammlung erhalten. Wird der Begriff weit ausgelegt, so schließt er auch das unerwünschte Löschen von Daten (Datenverlust) ein.

Definitionen

Datenpannen sind Verstöße, gegen die Datensicherheit und den Datenschutz, bei denen Staatsgeheimnisse, Betriebsgeheimnisse oder personenbezogene Daten Unberechtigten vermutlich oder erwiesenermaßen bekannt geworden sind. Es spielt keine Rolle, ob die Daten in analoger oder elektronischer Form vorliegen. Darunter fallen:^[1]

• bewusste oder unbewusste unbefugte Verarbeitung von Daten (z. B. Datenabfluss),
• unbefugte Aktivitäten zur Umgehung von Sicherheitsvorkehrungen bei Datenverarbeitungen,
• Angriffe auf die IT-Infrastruktur eines Unternehmens.

Die Daten können dabei im Original abhanden kommen (z. B. indem Datenträger oder Akten verloren, gestohlen oder falsch entsorgt werden) oder in Form einer Kopie (z. B. durch Eindringen in einen Server, Verbreitung versehentlich veröffentlichter Daten oder die Arbeit von Informanten).

Der us-amerikanische Federal Information Security Management Act definiert Datenpannen wie folgt:

The term “data breach” means the loss, theft, or other unauthorized access, other than those incidental to the scope of employment, to data containing sensitive personal information, in electronic or printed form, that results in the potential compromise of the confidentiality or integrity of the data.^[2]

(Eine Datenpanne bezeichnet den Verlust, Diebstahl oder unberechtigten Zugriff, sofern dieser nicht ein Beschäftigungsverhältnis betrifft, von/auf Daten, welche sensible persönliche Informationen in elektronischer oder gedruckter Form enthalten, insofern dieser die Vertraulichkeit oder Integrität der Daten gefährdet.)

Im Bundesdatenschutzgesetz werden Datenpannen indirekt durch die Informationspflicht definiert. Demnach liegt eine Datenpanne nur vor, wenn

1. besondere Arten personenbezogener Daten (§3 Absatz 9 BDSG),

2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen,

3. personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder

4. personenbezogene Daten zu Bank- oder Kreditkartenkonten

unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind […]^[3]

Rechtliche Bedeutung

In einigen Ländern gibt es eine Informationspflicht bei Datenpannen mit personenbezogenen Daten. In diesen Fällen müssen die Betroffenen, die Aufsichtsbehörden oder die Öffentlichkeit benachrichtigt werden. Die Veröffentlichung unterbleibt bei Unternehmen dagegen meist, wenn Betriebsgeheimnisse betroffen sind, um Schaden vom Image abzuwenden.

Situation in der Europäischen Union

Durch das Telekom-Paket sind Telekommunikationsdiensteanbieter dazu verpflichtet die nationalen Regulierungsbehörden über Datenpannen zu informieren. In schweren Fällen müssen die betroffenen Personen direkt benachrichtigt werden.^[4]

Situation in Deutschland

Das Bundesdatenschutzgesetz sieht seit 2009 eine Informationspflicht bei Datenpannen für Privatunternehmen und öffentlich-rechtliche Wettbewerbsunternehmen vor, sofern personenbezogene Daten betroffen sind.^[3] Unternehmen, welche dieser Informationspflicht nicht nachkommen handeln ordnungswidrig.^[5] Dies kann eine Geldbuße bis zu 300.000 Euro nach sich ziehen.^[6] In besonderen Fällen kann auch eine höhere Geldbuße oder sogar eine Freiheitsstrafe verhängt werden.^[6][7] Behörden sind bisher von der Informationspflicht ausgenommen.

Die Einführung der Informationspflicht hat zu einer größeren Bereitschaft bei Unternehmen geführt, Datenpannen durch geeignete IT-Sicherheitsmaßnahmen vorzubeugen.^[8]

Situation in Österreich

Auch das österreichische Datenschutzgesetz sieht eine Informationspflicht vor, wenn Daten aus einer Datenanwendung „systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht“.^[9] Bei Zuwiderhandlung kann eine Geldstrafe bis 10.000 Euro folgen.^[10]

Situation in anderen Ländern

In den Vereinigten Staaten müssen die Betroffenen in allen Bundesstaaten, außer Alabama, Kentucky, New Mexico und South Dakota, über eine Datenpanne informiert werden, falls es sich um personenbezogene Daten handelt.^[11]

Datenpannen erkennen

Datenpannen können entweder innerhalb einer Organisation erkannt oder von außen an diese heran getragen werden. Von innen geschieht dies zum Beispiel durch Mitarbeitergespräche, Prüfungen von Prozessen, bei denen sensible Daten verarbeitet werden, Auswertung von Serverlogs, Beobachtung von Unregelmäßigkeiten oder Warnmechanismen bei unerlaubten Zugriffen. Von außen kann die Information durch Dritte, durch Medienberichte oder durch eine Anzeige bei der zuständigen Aufsichtsbehörde erfolgen. Damit Meldungen von Dritten schnell und zuverlässig bearbeitet werden, sollte es einen definierten Meldeweg geben.^[1][12]

Folgen

Durchschnittliche Kosten einer Datenpanne in Deutschland (nach Ponemon-Studie^[8])

Datenpannen haben in der Regel negative Folgen. Für die Verursacher und, wenn es sich um personenbezogene Daten handelt, auch für die Betroffenen können dies wirtschaftliche Nachteile oder Imageschäden sein. In wenigen Fällen können Datenpannen auch positive Folgen haben, zum Beispiel, wenn dadurch ähnlich dem Whistleblowing wichtige Informationen aufgedeckt werden, welche der Öffentlichkeit vorenthalten wurden.

Die durchschnittlichen Kosten pro Datenpanne steigen, laut Ponemon-Studie^[8], in Deutschland seit 2008 in jedem Jahr an. 2010 lagen sie bei 3,4 Millionen Euro. Davon entfielen 1,5 Millionen Euro auf den unmittelbaren Geschäftsverlust, 0,9 Millionen Euro auf verlorene Kunden und fehlende Neukunden durch den entstandenen Imageschaden, 0,7 Millionen Euro auf das Aufdecken der Datenpanne und 0,2 Millionen Euro auf die Benachrichtigung von Betroffenen. Durch die Einführung der Informationspflicht im Jahr 2009 steigen die Kosten deutlich, wenn auf eine Datenpanne zu langsam oder unzureichend reagiert wird.^[3][8]

Wenn von einer Datenpanne personenbezogene Daten betroffen sind, besteht die Gefahr von Identitätsdiebstahl. Die Daten werden dafür gegebenenfalls von Kriminellen durch Phishing angereichert. Den Betroffenen können dann große finanzielle und persönliche Schäden entstehen.

Bedeutende Vorfälle

WikiLeaks-Depeschen (September 2011) – Durch mangelnde Kommunikation zwischen einem Journalisten des Guardian und dem WikiLeaks-Gründer, Julian Assange, wird das Passwort zu einer im Internet verfügbaren, aber verschlüsselten Datei veröffentlicht. Diese enthält die zuvor in redigierter Fassung veröffentlichten Botschaftsdepeschen und damit unter anderem die Namen von Informanten.^[13] (siehe Datenpanne bei WikiLeaks)

Trackingserver des Zolls (Juli 2011) – Cracker hatten Zugriff auf einen Server der deutschen Bundeszollverwaltung. Auf diesem waren Bewegungsprofile und Zugangsdaten zu Abhörgeräten von Verdächtigen gespeichert, welche veröffentlicht wurden.^[14]

Sony-Kundendaten (April 2011) – Mehrmals wurden personenbezogene Daten von Sony-Kunden von unterschiedlichen Servern der Firma kopiert. Von dem Vorfall waren über 100 Millionen Personen betroffen. Die Tätern erlangten auch Kenntnis über die Kreditkartendaten vieler Betroffener.^[15] (siehe Hackerangriffe auf Sony)

Schlecker-Kundendaten (August 2010) – Unbekannte hatten Zugriff auf eine Kundendatenbank der Drogeriekette Schlecker. Sie gelangten so an 150.000 Adressdatensätze, 7 Millionen E-Mailadressen und die Kundenprofile der betroffenen Personen. Verantwortlich für die Datenpanne war der IT-Dienstleister Artegic AG.^[16] (siehe Geschichte von Schlecker)

Soziales Netzwerk SchülerVZ (Oktober 2009) – Unbekannte nutzen mehrere Sicherheitslücken um unter anderem auch als „privat“ eingestellte Daten aus dem sozialen Netzwerk schülerVZ auszulesen und in leicht zu durchsuchenden Datenbanken abzuspeichern. Davon waren mehr als 1,5 Millionen Schüler betroffen. Diese Fälle erlangte im Gegensatz zu einem ähnlich gelagerten Fall bei studiVZ große Brisanz, da personenbezogene Daten Minderjähriger betroffen waren.^[17] (siehe Privatsphäre im SchülerVZ)

Kreditkartendaten der LBB (Dezember 2008) – Microfiches mit Abrechnungsdaten von Amazon- und ADAC-Kreditkarten gerieten beim Transport vom IT-Dienstleister AtosWorldline zur Landesbank Berlin (LBB) an einen falschen Empfänger. Angeblich sollen Mitarbeiter eines Kurierdienstes ein Christstollenpaket geöffnet und geleert haben, welches an den Chefredakteur der Frankfurter Rundschau adressiert war. Sie sollen das geleerte Paket dann gegen eines von sechs an die LBB adressierten Paketen ausgetauscht haben, um ihre Tat zu vertuschen. Diese Datenpanne wurde deshalb auch bekannt unter dem Schlagwort Datenstollen.^[18] (siehe vermeintlicher Datendiebstahl bei der LBB)

Telekom-Kundendaten (Oktober 2008) – Bereits im Jahr 2006 waren von der Deutschen Telekom 17 Millionen Kundendaten entwendet worden. Laut Telekom waren diese nicht mehr im Umlauf, als sie 2008 über Adresshändler wieder auftauchten. Die Daten sind vermutlich über ein Callcenter abgeflossen.^[19] (siehe Ära Obermann bei der Deutschen Telekom)

Deutsche Melderegister (Juni 2008) – Durch Rückverfolgung von Adresshandel fiel auf, dass mehrere deutsche Einwohnermeldeämter eine Software mit Online-Zugang verwendeten, deren Passwort nach der Installation nicht geändert worden war. Mit Kenntnis des im Internet verfügbaren Standardpassworts des Softwareherstellers verschafften sich Kriminelle Zugang zu rund 400.000 Meldedatensätzen.^[20]

Britische Kindergelddatenbank (November 2007) – Auf dem Postweg kamen zwischen zwei britischen Behörden CDs mit den Daten von 25 Millionen Kindergeldempfängern abhanden.^[21]

Kreditkartendaten von TJX (März 2007) – Beim amerikanischen Einzelhandelskonzern TJX Companies wurden 45,7 Millionen Kredit- und Debitkartendaten entwendet.^[22]

AOL-Forschungsdatenbank (August 2006) – Zu Forschungszwecken hatte der Internetprovider AOL das gesamte Surfverhalten seiner Nutzer anonym protokolliert. Die 0,5 Millionen Datensätze, welche von März bis Mai 2006 anfielen, wurden versehentlich auf der Internetseite des Konzerns veröffentlicht. Die Profile waren anhand der Suchanfragen teilweise leicht zu deanonymisieren.^[23]

Kreditkartendaten von MasterCard und Visa (Juni 2005) – Durch einen Diebstahl bei dem us-amerikanischen Abrechnungsdienstleister Card-Systems Solutions kamen 40 Millionen Kreditkartendaten in Umlauf. Betroffen waren unter anderem Kunden von MasterCard und Visa.^[24]

Siehe auch

• Data Loss Prevention
• Informationssicherheit
• Internetkriminalität

Weblinks

• DATALOSS db – open security foundation – Sammlung von Datenpannen (insbesondere englischsprachiger Raum)
• datenleck.net – die chronik der datenpannen – Sammlung von Datenpannen (insbesondere deutschsprachiger Raum)
• Gesetzliche Vorgaben (Datenschutzrecht): Informationspflichten bei Datenlecks (§ 42a BDSG)

Einzelnachweise

1. ↑ ^{a b} HRM.de (Februar 2010): Richtlinie zum Abfluss von Informationen an Dritte. HRM-Newsletter Personalrecht. Abgerufen am 3. Oktober 2011.
2. ↑ U.S. Code §5727 (Title 38, Part IV, Chapter 57, Subchapter III) (Englisch). Cornell University. Abgerufen am 4. Oktober 2011.
3. ↑ ^{a b c} §42a BDSG
4. ↑ Stefan Krempl (2009): Brüssel schnürt Telecom-Paket. C’t. Abgerufen am 7. Oktober 2011.
5. ↑ §43 Absatz 2 BDSG
6. ↑ ^{a b} §43 Absatz 3 BDSG
7. ↑ §44 Absatz 1 BDSG
8. ↑ ^{a b c d} 2010 Annual Study: German Cost of a Data Breach (Englisch) (PDF). Ponemon Institute (Februar 2011). Abgerufen am 12. Oktober 2011.
9. ↑ §24 Absatz 2a DSG
10. ↑ §52 Absatz 2 DSG
11. ↑ State Security Breach Notification Laws (Englisch). National Conference of State Legislatures. Abgerufen am 9. Oktober 2011.
12. ↑ Oliver Schonschek: Datenverlust vermeiden: Datenpanne – und jetzt?. Datenschutz PRAXIS. WEKA MEDIA. Abgerufen am 12. Oktober 2011.
13. ↑ Stöcker Christian: Datenleck bei WikiLeaks: Depeschen-Desaster in sechs Akten, Spiegel-Online. Abgerufen am 20. Oktober 2011. 
14. ↑ Konrad Lischka: Cyber-Attacke: Hacker klauen Daten von Zoll-Server, Spiegel-Online. Abgerufen am 20. Oktober 2011. 
15. ↑ Sony-Serie – Heute: Sonys 100 Millionen Kunden, datenleck.net. Abgerufen am 20. Oktober 2011. 
16. ↑ DPA: Sicherheitslücke: Schlecker-Kundendaten frei im Internet zugänglich, Zeit-Online. Abgerufen am 20. Oktober 2011. 
17. ↑ Markus Beckedahl: Datenleck bei SchülerVZ, netzpolitik.org. Abgerufen am 20. Oktober 2011. 
18. ↑ Gestohlene Kreditkartendaten: Großer Datenhunger, Süddeutsche Zeitung. Abgerufen am 20. Oktober 2011. 
19. ↑ Telekom-Skandal: Diebe klauten 17 Millionen T-Mobile-Kundendatensätze, Spiegel-Online. Abgerufen am 20. Oktober 2011. 
20. ↑ Offene Melderegister: Eine Einladung für Identitäsklau, datenleck.net. Abgerufen am 20. Oktober 2011. 
21. ↑ Andreas Wilkens: Britischen Behörden gehen erneut Millionen Daten verloren, Heise Online. Abgerufen am 20. Oktober 2011. 
22. ↑ Andreas Wilkens: Massiver Kreditkartennummern-Klau beim US-Einzelhändler TJX, Heise Security. Abgerufen am 20. Oktober 2011. 
23. ↑ Ingo Pakalski: AOL enthüllt Suchanfragen seiner Nutzer, Golem. Abgerufen am 20. Oktober 2011. 
24. ↑ Dieter Brors: 40 Millionen Kreditkarten-Daten gestohlen, Heise Online. Abgerufen am 20. Oktober 2011. 

Bitte den Hinweis zu Rechtsthemen beachten!