SSD mit tausenden Daten des Landratsamts Coburg bei Ebay verkauft

Über Umwege ist mindestens eine bei einer Behörde als defekt ausge­musterte SSD mit samt sensiblen Daten bei Ebay gelandet. Der Vorfall zeigt, welche Tücken die IT-Verträge der öffentlichen Hand beinhalten - und wie sich dann Fehler an Fehler reihte. mehr... Dokumente, Papier, Akten Bildquelle: Niklas Bildhauer (CC BY-SA 2.0) Dokumente, Papier, Akten Dokumente, Papier, Akten Niklas Bildhauer (CC BY-SA 2.0)

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Tja, damit im Gesundheitswesen derartiger Datenauswurf erst gar nicht passieren kann, haben sich die zuständige Behörde und das Ministerium dazu entschlossen das System Gesundheitskarte komplett durch private Dienstleister durchführen zu lassen. So werden die Datensätze von allen gut 80 Mio versicherten Bundesbürgern dann künftig bei einer Tochter der Bertelsmann-Stiftung, zentral in einem Rechenzentrum gespeichert ... und wenn nach Ablauf des Vertrags ein anderer Anbieter ein billigeres Angebot macht, dann werden die Daten künftig vlt. direkt von der privaten Versicherungs- oder Finanz-Wirtschaft Verwaltet, das wäre dann ja super praktisch! Dann brauchen Kunden gar keine Gesundheitsfragen mehr beantworten, wenn sie einen Kreditvertrag oder eine Lebensversicherung abschließen wollen ... kann der Anbieter sich direkt bei den Gesundheitskarten-Daten über den Gesundheitszustand des Kunden informieren ... ein echter Fortschritt ?!?
 
@Hobbyperte: nun, ist es nicht egal wo die Daten gespeichert werden sondern eher das wie?

ein normaler Burger schreibt sowas wie du, und das zurecht. jemand der aber auch nur ein wenig von Kryptographie versteht weiß, das es nicht schwer ~wäre Daten sicher abzulegen, egal wo! und wenn man brav am Standard arbeitet, dann auch "für immer"

aber jo, auf Papier wäre vielen lieber.
 
was für eine "allmächtige" Festplatte ... da fragt man sich ja, wie die Behörde ohne die überhaupt weiterarbeiten konnte, wenn die Daten dort und nicht auf einem Filer, DMS oder sonst wo abgelegt wurden ...
scheinbar waren ja auch sämtliche Programme lokal auf der Platte installiert.. Mich wundert aber auch das irgendwie nicht mehr so wirklich..
 
Der Behörde kann man insofern keinen Vorwurf machen, dass sie sich eine Löschungsbescheinigung hat vorlegen lassen. Dumm nur, dass das Verfahren für den Stand der Technik nicht geeignet war. Auch das IT-Design dort ist grottig. Und das ist der Staat, der immer wieder verlangt, dass seine Bürger ihm vertrauen und ihm doch möglichst viele Daten zur Verfügung stellen......

Die Herausforderungen durch den technischen Fortschritt sind riesig und die Politik hat noch nicht verstanden, dass auch sie sich grundlegend verändern muss, um Schritt halten zu können.
 
@feinstein: >>Man kann der Behörde also keinen Vorwurf machen?

Das Problem ist schon viel früher aufgetreten:
- Die Behörde hat schon mal nicht verschlüsselt - das ist inzwischen standard, überall wo mit sensiblen Daten gearbeitet wird!
- Die Behörde ist unsorgsam mit Daten und Passwörtern umgegangen. Wenn der Mitarbeiter das so gemacht hat machen es wahrscheinlich viele andere auch so
- Anscheinend gibt es da gar keine Konzepte das Datenschutzkonform abzuhandeln wenn alles im Outlook für immer am Rechner bleibt. Es gibt die DSGVO nach der persönliche Daten nach einer gewissen Zeit gelöscht werden müssen. Das funktioniert einfach nicht, wenn ich ein Outlook habe in dem ich alles von jedem für immer aufhebe.

Das sind nur 3 aber man könnte der Behörde wahrscheinlich noch etliche Vorwürfe mehr machen...
 
@Hans3: Ich würde der Behörde dann einen Vorwurf machen, wenn sie sich rechtswidrig verhalten hätte oder gegen Verwaltungsanordnungen verstoßen hätte. Ob das geschehen ist, ist nicht klar. Es ist auch nicht klar, ob sich die Behörde DSGVO-widrig verhalten hat. Meines Wissens sieht diese keine Pflicht zur Verschlüsselung vor und auch die Löschungspflicht greift natürlich nicht für Daten, die aus Verwaltungsgründen weiterhin vorgehalten werden müssen. Gerade für Akten oder Aktenbestandteile gibt's ja grundsätzlich genau geregelte Aufbewahrungsfristen. Außerdem wollte die Behörde die Daten ja gerade löschen lassen, es ist nur am falschen Verfahren gescheitert wurde ihr aber als erfolgreich bescheinigt.
Natürlich entspricht das IT-Konzept anscheinend nicht dem heutigen Stand der Technik oder den Erwartungen. Aber da können die einzelnen Mitarbeiter nichts dafür, wenn die Führung und die Politik nicht die Rahmenbedingungen dafür schaffen, dass man dem aktuellen Stand der Technik auch folgen kann. Kostet halt auch Geld. Nicht umsonst liest man ja immer wieder, dass da teilweise noch mit WinXP oder Win 7 gearbeitet wird.
Deswegen hatte ich ja auch geschrieben, dass die Politik in ihrer jetzigen Ausprägung nicht Schritt hält. Und im Moment sehr ich auch keine Anzeichen dafür, dass sich das ändern wird.
 
@feinstein: >>Gerade für Akten oder Aktenbestandteile gibt's ja grundsätzlich genau geregelte Aufbewahrungsfristen.

Genau um das geht es: per Outlook kann ich keine dieser Aufbewahrungsfristen umsetzen.

Es ist auch wahr dass die Mitarbeiter da nichts dafür können. Dies habe ich auch nicht behauptet. Die Behörde muss da einfach andere Software dafür einsetzen. So sieht es leider noch in sehr vielen Firmen und Behörden aus. Dadurch dass nur gewisse Leute in diese Kreise kommen fallen diese hunderten und tausenden Verstöße nicht auf und werden auch nicht geahndet. Das heißt aber nicht, dass es nicht trotzdem Verstöße sind.

Es fällt erst dann wieder auf, wenn mal eine Behörde wieder gehackt wird und die erhalten dann plötzlich Daten alle Bürger der letzten Jahrzehnte. Die DSGVO dient ja hauptsächlich der Prevention. Das heißt die Daten immer auf das absolute Minimum beschränken - bezogen auf die Menge an Daten (es darf nur gesammelt werden was benötigt wird), auf die Dauer (es darf nur vorgehalten werden solange es nötig ist), auf das Recht auf Vergessen (wenn der Grund zur Aufbewahrung weg fällt, z.B: Umzug in ein anderes Land, oder Kündigung eines Vertrages) und so weiter.
 
@feinstein: Mit dem löschen haben die Behörden es nicht so. Vor kurzem ist auch bei der Berliner Polizei ein Datenskandal aufgeflogen.

Hier wurden seit 2013 gar keine Daten mehr gelöscht. Weiterhin haben auch die Polizeibeamten unkontrolliert diese Daten genutzt. Als Grund wurde auch hier öfters "XXX" angegeben.

https://netzpolitik.org/2019/berliner-polizei-bunkert-illegal-daten/
 
Wie genau hat der Privatkäufer denn eigentlich 'gemerkt', das auf der auf den ersten Blick sicherlich völlig leeren SSD ne Menge Daten drauf sind, wenn angeblich erst die CT mit nem Datenrettungsprog was wiederhergestellt hat bzw das konnte ?
Der hat nicht deswegen gebrauchte SSD gekauft, weil er ganz genau weiß, das die schwer final bzw endgültig zu leeren sind ?
Und hat sich nicht deswegen an die CT gewandt, weil schon vorher genau wusste, das per seinen Einkäufen (endlich) ne (wirklich) brisante SSD aufgetan hat, mit der man, über das Sprungbrett CT: Bekanntheit bzw Geldeingänge generiert kriegen kann ?
 
@DerTigga: "Es sollte sich demnach um Kundenretouren handeln. Was er dann aber zugesendet bekam, machte ihn stutzig, denn die SSD wies nicht nur deutliche Gebrauchsspuren auf..."
 
@ElGonzales: Das steht aber erst jetzt SO da, denn als ich meinen Beitrag schrieb, war der von dir zitierte Satz noch etwas länger und es stand dort, das der Typ selber bemerkt hat, das so einiges auf der SSD ist. Und logischerweise daher bzw deswegen erst losgetrabt ist, ums bei der CT 'einzureichen'.
Kann man sicher gut drüber diskutieren, aber wer bzw. welcher Privatmann klemmt sich normalerweise ne etwas verkratzte SSD untern Arm und bringt die zu ner hochrangigen PC Zeitschrift zum analysieren, nur auf Verdacht und völlig ohne zu wissen, ob und wenn ja was drauf ist ?
 
@DerTigga: Die Daten wurden vor dem Verkauf nicht gelöscht und waren somit auf den ersten Blick im Explorer sichtbar. Als er dann gemerkt hat, dass das Daten von einer Behörde waren hat er sich an CT gewandt.
 
@Chris81: Wozu brauchte man dann das Datenrettungsprogramm wenn alle Daten noch da waren und nicht gelöscht waren ?
 
@merlin1999: Das Tool war nur deshalb nötig weil die SSD nicht einwandfrei funktioniert hat und es beim Kopieren Fehler gab. So steht es in dem Artikel auf heise.
 
@DerTigga: Also bitte, wieso sollte denn irgendwer jemandem Geld geben, weil der mithilfe der C't einen Datenskandal öffentlich gemacht hat? Meinst du, der wird damit zum Superstar, der gegen viel Geld superinteressante Interviews für die Boulevardpresse geben kann? Soooo spannend ist dieser Fall dann nun auch wieder nicht. Für meinen Geschmack fehlen da noch Sex, Drogen, die Mafia und Geheimdienste, um da jetzt wirklich eine packende Bond-Geschichte draus zu machen.
 
Oh-Oh, wenn das mit dem Datentrettungsprogramm mal nach Hackerparagraph nicht zu einer Aktion zum Ausspähen von Daten mit illegalem Tool hin gebogen werden kann, da guckt man bestimmt schon ob man der C't nicht mal wieder an den Karren fahren kann :P

Ich habe HDDs zusätzlich zum Softwarequatsch immer höchst selbst an der Säulenbohrmaschine mit einem 13er HSCo perforiert.
 
@ElGonzales: Seit wann zählt es unter den Hackerparagraf, wenn die Daten direkt offen auf der SD liegen und man direkt über den Explorer man drauf zugreifen kann.
 
In einigen Kommentaren wurde ja vermerkt, dass die SSDs wohl nicjt leer waren. aber Datenrettung mit Tools wie ZAR oder ontrack easy recovery sollte auf einer mit TRIM etc arbeitenden SSD jetzt eigentlich nicht so wirklich brauchbare Sachen zu Tage fördern. schon strange das ganze...
 
@kazesama: Die Daten waren nicht gelöscht und ganz normal im Explorer sichtbar. Das Tool war nur deshalb nötig weil die SSD nicht einwandfrei funktioniert hat und es beim Kopieren Fehler gab.
 
Ein EDV- Systempartner sollte doch wissen, wie man SSD mittels Befehl in den genullten Werkszustand versetzt. Wenn schon eine Software, wie Recuva die "gelöschten" Daten anzeigt, dann ist hier etwas massiv verkehrt gelaufen
 
Dies werden auch nicht die letzen "News" sein die man vom Staat, dem ÖD und der IT zu lesen bekommt, sonder wohl in der nächstne Zeit noch deutlich steigen, da die Probleme einfach "Hausgemacht" sind und sich eben nicht damit "bereinigen" lassen wenn man die Aufträgen immer wieder an den "billigsten" vergibt!
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 17:10 Uhr Windows 10 Pro - Vollversion 32 bit & 64 bit | neuer und originaler Produktschlüssel | Box Inkl. Anleitung von lizengoWindows 10 Pro - Vollversion 32 bit & 64 bit | neuer und originaler Produktschlüssel | Box Inkl. Anleitung von lizengo
Original Amazon-Preis
39,99
Im Preisvergleich ab
?
Blitzangebot-Preis
33,99
Ersparnis zu Amazon 15% oder 6