Datenpanne bei Vermieter Buchbinder-Check für uns
3. Februar 2020
3 Millionen Kundendaten
der Autovermietung Buchbinder
waren für jedermann im Netz über Wochen hinweg offen abrufbar.
Adressen, Telefonnummern, Parteizugehörigkeit, Geburtsdaten, Führerscheinnummern, Unfalldaten(Berichte), Kennzeichen von Unfallgegnern, Zeugendaten, Verletztendaten, Informationen zu Alkoholfahrten, vertrauliche Nachrichten, ja selbst unverschlüsselte Passwörter umfasste das im Internet abgelegte Datenbankbackup. Dass dies
personenbezogene Daten sind und Geschäftsgeheimnisse waren,
liegt auf der Hand.
Was war passiert?
Das tägliche Backup der Autovermietung wurde auf einem deutschen Server bei der PlusServer GmbH in verschiedenen Dateien gespeichert. Auf dem Server war der Port 445 offen, der die Datenübertragung über Server Message Block (SMB) gestattet. So wie Sie es von Windows aus und dem Explorer kennen, war damit der Zugriff auf Dateien und Verzeichnisse für jedermann mit einem Internetanschluss möglich.
Wenn ein Dienst ins Netz gestellt wird (wie bei einem Software as a Service Dienst auf einem Server) sind bereits nach geringer Zeit Angriffsversuche möglich. Netzwerkscanner sind als Open-Source-Werkzeuge für jedermann verfügbar und suchen nach offenen Diensten im Netz. Menschen mit IT-Kenntnissen finden daher sehr zügig heraus, ob der Port 445 für SMB offen ist. Daher sollten nicht einmal für eine “juristische Sekunde” Dienste ohne Schutzmechanismen online sein.
Was ist zu tun?
-
Nehmen Sie diesen Vorfall zum Anlass bei Ihrer IT nachzufragen, ob bei Ihrem Server (auch Backupserver) der Port 445 mit einem sicheren Passwort gesichert ist. Bitten Sie um die Überprüfung der Konfiguration, um auch Hackerangriffe á la Wannacry (Schadprogramm verschlüsselte Rechner und fordert Bitcoinzahlung) zu verhindern.
-
Prüfen Sie danach bitte die Sicherung, indem Sie das Unternehmensnetz einem Portscan aus einem anderen Netz unterziehen. Hierfür können Sie bspw. den Netwerkcheck von heise Security nutzen.
-
Dokumentieren Sie den Vorgang und leiten Sie das Ergebnis an den Informationssicherheitsbeauftragten und den Datenschutzbeauftragten weiter.
-
Bei der Feststellung eines offenen Dienstes weisen Sie bitte die IT zur Sicherung an.
-
Wiederholen Sie von Zeit zur Zeit die Prüfung nach “offenen Diensten”.
Am 30.04.2020 bieten wir als vdw Sachsen ein Seminar zum Datenschutz in der Wohnungswirtschaft an.
Ich würde mich sehr freuen, wenn auch die internen und externen Datenschutzbeauftragten unserer Mitgliedsunternehmen aus der Wohnungswirtschaft ihre Erfahrungen an diesem Tag zum Umgang mit mit diesem Netzwerkcheck austauschen.
Thilo Zachow
Referent für Datenschutz beim vdw Sachsen
Rechtsanwalt
Fachanwalt für Informationstechnologierecht
Fachanwalt für Urheber- und Medienrecht
Datenschutzbeauftragter (TÜV zertifiziert)
Informationssicherheitsbeauftragter (bitkom zertifiziert)