BR24 Logo
BR24 Logo
Startseite
© picture alliance / dpa | Franziska Kraufmann
Bildrechte: picture alliance / dpa | Franziska Kraufmann

Symbolbild: Festplatten

4
Per Mail sharen

    Zu verkaufen: Festplatten mit sensiblen Daten

    Gebrauchte Festplatten können sensible Informationen enthalten. Datenträger sollten deshalb unwiderruflich gelöscht werden, bevor sie weiterverkauft werden. Eine BR-Recherche zeigt nun, dass das offenbar oft nicht gemacht wird.

    4
    Per Mail sharen
    Von
    • Hakan Tanriverdi
    • Lisa Wurscher
    • Michael Kreil

    Schon der Name des Ordners spricht für sich: "Unterlagen für das LKA". Im Ordner selbst finden sich Dokumente, die belegen sollen, dass ein Mitarbeiter betrogen hat. Auch eine Strafanzeige ist dort abgelegt, sie datiert auf Ende 2015.

    In einem anderen Ordner finden sich Informationen über einen der wertvollsten Tech-Konzerne Europas: Klarna. Sowohl harmlose Dokumente sind dabei – firmeninterne Angebote, Englisch zu lernen, zum Beispiel – als auch Daten, die üblicherweise gut gehütet werden: interne Präsentationen, monatliche Wachstumsraten bis hin zu Zugangsdaten, abgelegt in einer Textdatei.

    Festplatten auf Ebay Kleinanzeigen

    Die Daten gehören einer Klarna-Tochter und befinden sich auf einer von mehr als zwei Dutzend Festplatten, die Reportern von BR Recherche und dem ARD-Magazin Plusminus vorliegen. Sie waren auf Ebay Kleinanzeigen im Angebot.

    Einige Festplatten wurden dem Reporterteam zugespielt, die Quelle will anonym bleiben. Als die Reporter selbst Festplatten kaufen wollen, scheitert ein Versuch, weil der Anbieter die Festplatten nicht an Journalisten übergeben will. "Auf den Datenträgern waren mal Firmendaten", schreibt der Händler, bevor er den Kontakt abbricht.

    Nicht gelöscht: Bürgerdaten aus Einwohnermeldeamt

    Neben der Festplatte mit den Daten der Klarna-Tochter findet sich unter den Datenträgern, die dem BR vorliegen, auch eine Festplatte mit Bürgerdaten aus dem Einwohnermeldeamt der Gemeinde Neunkirchen-Seelscheid in der Nähe von Köln. Menschen, die das Amt besuchen, um Geburten mitzuteilen, ihre Staatsangehörigkeit zu ändern oder zu melden, dass sie ihren Personalausweis verloren haben: Ihre Daten sind auf der Festplatte verzeichnet. Dazu finden sich weit mehr als 2.000 Passfotos samt Unterschriften.

    Auf einer weiteren Festplatte: Daten des Automobil-Konzerns Audi, sie stammen offenbar aus der Produktion. Die Daten reichen bis ins Jahr 2010 zurück, decken also einen Zeitraum von zehn Jahren ab.

    Festplatten werden nicht ordentlich gelöscht

    Wenn Unternehmen sich neue Rechner anschaffen, werden alte Bestände hin und wieder ausgelagert, zum Beispiel, weil sie nicht mehr so leistungsfähig sind. Dabei müssen aus Datenschutzgründen sämtliche Informationen vernichtet werden.

    Genau hier kann den ARD-Recherchen zufolge der Fehler passieren: Manche Dienstleister, die mit der Datenlöschung beauftragt werden, kommen dieser Anforderung offenbar nicht sachgemäß nach. In einigen Fällen sind die Daten auf den Festplatten, die dem BR vorliegen, sofort nach Anschluss der Hardware verfügbar.

    In anderen Fällen sind die Festplatten wohl zwar formatiert worden, aber nur im Schnellverfahren. Das reicht nicht aus, auch diese Daten lassen sich wiederherstellen. Dabei sind auf praktisch allen modernen Betriebssystemen kostenlose Programme vorinstalliert, die ein sicheres Löschen von Daten ermöglichen.

    Der renommierte Datenschutz-Experte Thilo Weichert sagt im Interview, dass es "keinerlei Kontrolle" gibt bei der Löschung von Daten auf Festplatten: "Weder durch die Aufsichtsbehörden und leider auch nicht von den verantwortlichen Stellen, die diese Festplatten entsorgen wollen. Insofern kann man tatsächlich feststellen, dass das Löschen von Daten oft gemäß Wildwest-Manier behandelt wird."

    Ermittler spricht von "Goldgrube"

    Ähnlich sieht es Jörg Gottschalk von der "Taskforce Cybercrime" bei der Polizei in Göttingen. Er bezeichnet ungelöschte sensible Daten als "Goldgrube" – sollten sie in falsche Hände geraten. Die Daten lassen sich ihm zufolge für Betrugszwecke einsetzen.

    "Ich kann mich überall verifizieren. Ich wüsste nicht, was ich damit nicht anstellen kann. Und wenn ich es nicht selber machen möchte, verkaufe ich die Daten", sagt Gottschalk. Auf entsprechenden Webseiten im Internet wird mit privaten Daten gehandelt.

    Wie kamen die Festplatten auf Ebay Kleinanzeigen?

    Wie genau die ungelöschten Festplatten, die dem BR vorliegen, auf Ebay Kleinanzeigen gelandet sind, ist unklar. Ein IT-Beauftragter, der die betroffene Gemeinde Neunkirchen-Seelscheid in der Nähe von Köln betreut, erklärt, dass ein externer Dienstleister dafür zuständig sei, die Daten zu löschen. Man verwende heutzutage "fast ausschließlich" Leasing-Geräte. Ob die Festplatte auf dem Weg zur Löschung verschwunden ist oder beim externen Dienstleister nicht gelöscht wurde, lässt sich aktuell nicht nachvollziehen. Die Gemeinde hat das Datenleck bei der Landesdatenschutzbehörde gemeldet und Anzeige gegen Unbekannt erstattet. Die Staatsanwaltschaft Köln ermittelt.

    Klarna untersucht Vorfall

    Auf Anfrage teilt Klarna mit, man arbeite daran, den Vorfall zu untersuchen, mit "höchster Priorität": "Bei Klarna gibt es einen klaren Prozess für die Entsorgung von Festplatten, der höchsten Standards entspricht. Wir arbeiten dabei mit spezialisierten und geprüften Anbietern zusammen, die die Vernichtung uns gegenüber zertifizieren."

    Audi: Festplatte enthielt keine sensiblen Daten

    Ein Audi-Sprecher teilt mit, dass die Festplatte aus einem "Anlagenbedienpult" in einem Werk in Neckarsulm stamme. "Im Zuge eines Software-Updates wurden dort Ende vergangenen Jahres Rechner ausgetauscht". Es habe sich um einen Anlagenrechner gehandelt, auf dem keine sensiblen Daten gespeichert waren, so Audi weiter. Deshalb unterlagen die Daten "auch nicht den besonders strengen Entsorgungskriterien".

    Kaum Kontrollen in der Branche

    Ein IT-Sicherheitsexperte, der namentlich nicht genannt werden will, spricht von kaum existierenden Kontrollen bei der Hardwareentsorgung: "Bei den großen Unternehmen haben sie eine ganz tolle Rechtsabteilung, die in der Regel auch die Verträge aufsetzen, aber Papier ist geduldig. Viele haben überhaupt keinen Plan davon und geben die Geräte einfach raus. Wenn ich dem Unternehmen sage, ich habe gelöscht – dann kontrollieren die das nicht nach." Seit Jahren sei er in diesem Bereich aktiv. In all der Zeit habe nur einmal ein Dax-Konzern wissen wollen, wie genau die Daten gelöscht werden.

    "Darüber spricht Bayern": Der neue BR24-Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!