SENDETERMIN Mi., 30.06.21 | 21:45 Uhr | Das Erste

Datenleck: Ungelöschte Festplatten auf ebay Kleinanzeigen

PlayUngelöschte Festplatten standen auf Ebay-Kleinanzeigen zum Verkauf (Symbolbild).
Datenleck: Ungelöschte Festplatten auf ebay Kleinanzeigen | Video verfügbar bis 30.06.2022 | Bild: picture alliance / Zoonar / Makoto Honda

  • Manche IT-Dienstleister, die mit gebrauchten Computer-Systemen von Behörden und Unternehmen handeln, löschen die Festplatten vor dem Weiterverkauf nicht fachgerecht.
  • Sie bringen so hochsensible, personenbezogene Daten auf den Markt, die eigentlich der Datenschutzgrundverordnung unterliegen.
  • Geraten sie in die falschen Hände, kann das für die Opfer schwerwiegende Folgen haben. Plusminus über ein skandalöses Datenschutzleck, das jeden Bürger in Deutschland betreffen kann.

Wenn Festplatten ausgetauscht werden, müssen die Daten vollständig vernichtet werden. Doch das Löschen passiert anscheinend nicht immer. Plusminus und BR Recherche haben ungelöschte Festplatten mit großen Datenmengen zugespielt bekommen. Sie standen auf Ebay-Kleinanzeigen zum Verkauf.

Nils Bräm
Nils Bräm | Bild: BR

Als wir Nils Bräm persönliche Informationen überreichen, die er eigentlich vertraulich verschickt hat, ist er überrascht. "Interessant, das ist doch ziemlich die Höhe", sagt er. Er hatte dem Einwohnermeldeamt in Neunkirchen-Seelscheid, eine Gemeinde in der Nähe von Köln, einen Brief geschickt. Reporter von Plusminus und BR Recherche haben eben diesen Brief in die Hände bekommen. Er war auf einer Festplatte gespeichert, die auf ebay Kleinanzeigen frei zum Verkauf stand. Neben Nils Bräm sind weitere Bürger betroffen. Wir finden fast 3000 Passfotos inklusive Original-Unterschriften auf den Festplatten.

Nicht alle Hardware-Entsorger löschen sorgfältig

Wenn Unternehmen alte Festplatten aussortieren, müssen die Datenträger komplett gelöscht werden. Viele Unternehmen beauftragen dafür externe Dienstleister.

Zwei Dutzend Festplatten ausgewertet
Zwei Dutzend Festplatten ausgewertet | Bild: BR

Zwei Dutzend Festplatten haben Plusminus und BR Recherche ausgewertet. Teilweise wurden sie dem Reporterteam von einem Informanten zugespielt, teilweise selbst gekauft. Neben den Angaben des Einwohnermeldeamtes finden sich auf den Festplatten auch Daten des Automobil-Konzerns Audi und des Zahlungsdienstleisters Klarna. Sowohl harmlose Dokumente sind darunter – etwa firmeninterne Angebote, um Englisch zu lernen – als auch Daten, die üblicherweise gut gehütet werden: interne Präsentationen, monatliche Wachstumsraten, bis hin zu Login-Daten. Die Daten reichen bis ins Jahr 2010 zurück, decken also einen Zeitraum von zehn Jahren ab.

Polizei: "Eine Goldgrube"

Für Jörg Gottschalk, von der "Taskforce Cybercrime" bei der Polizei in Göttingen, sind solche Daten für Kriminelle "ein Weltklasse-Fund", wie er sagt: "Das wäre für mich eine Goldgrube. Ich kann die Daten überall einsetzen zu Betrugszwecken, ich kann mich überall verifizieren", sagt er. Nach Einschätzung des Ermittlers ließen sich die Daten auch im Internet verkaufen.

Jörg Gottschalk von der Polizei Göttingen
Jörg Gottschalk von der Polizei Göttingen | Bild: BR

Der renommierte Datenschutz-Experte Thilo Weichert erklärt im Interview, dass es "keinerlei Kontrolle" gibt, wie und ob die Daten von Festplatten korrekt gelöscht werden: "Weder durch die Aufsichtsbehörden und leider auch nicht von den verantwortlichen Stellen, die diese Festplatten entsorgen wollen. Insofern kann man tatsächlich sagen, dass das Löschen von Daten oft gemäß Wildwest-Manier behandelt wird", so Weichert.

Betroffene reagieren überrascht

Auf Plusminus-Anfrage reagieren die betroffenen Unternehmen alarmiert. Man wolle aufklären, wie es zu dem Datenleck kam. Klarna teilt mit, den Fall mit "höchster Priorität" zu behandeln. Ein Audi-Sprecher bestätigt, dass die Festplatte aus einem "Anlagenbedienpult" in einem Werk in Neckarsulm stammt. Es habe sich um einen Anlagenrechner gehandelt, auf dem keine sensiblen Daten gespeichert waren, so Audi weiter. Deshalb unterlagen die Daten "auch nicht den besonders strengen Entsorgungskriterien".

Firma Euratech in Garching
Firma Euratech in Garching | Bild: BR

Externe Entsorgungsunternehmen spielen bei der Datenvernichtung offenbar eine große Rolle. Beim Besuch der Firma Euratech in Garching bei München erklärt Thomas Hofer, wie eine Überprüfung üblicherweise ablaufen sollte. Bis zu drei Stunden dauert die korrekte Löschung einer Festplatte. Eine bloße Formatierung hingegen, bei der Daten nicht vernichtet werden, ist in wenigen Sekunden erledigt. Ein Blick in das Innenleben des Rechners offenbart zwei Festplatten, aber nur eine ist angeschlossen: "Wenn ich das Gerät nicht öffne, sehe ich nicht, dass eine zweite Festplatte – die eventuell nicht gelöscht ist – in dem Gerät drin ist."

Staatsanwaltschaft ermittelt

Ein Insider, der anonym bleiben möchte und der aktuell auch für ein Ministerium Daten löscht, schätzt, dass nur rund zehn Prozent in der Branche sauber arbeiten. "Bei den großen Unternehmen haben sie eine ganz tolle Rechtsabteilung, die in der Regel auch die Verträge aufsetzen, aber Papier ist geduldig. Viele haben überhaupt keinen Plan davon und geben die Geräte einfach raus. Wenn ich dem Unternehmen sage, ich habe gelöscht – dann kontrollieren die das nicht nach."

Festplatten bei Ebay-Kleinanzeigen
Festplatten bei Ebay-Kleinanzeigen | Bild: BR

Wie genau die ungelöschten Festplatten, die Plusminus vorliegen, auf Ebay-Kleinanzeigen gelandet sind, ist unklar. Die Gemeinde Neunkirchen-Seelscheid hat das Datenleck bei der Landesdatenschutzbehörde gemeldet und Anzeige gegen Unbekannt erstattet, um genau das herauszufinden. Die Staatsanwaltschaft Köln ermittelt.

(Bericht: Lisa Wurscher/Hakan Tanriverdi/BR)
(Stand: Juni 2021)

Stand: 01.07.2021 08:52 Uhr

3 Bewertungen
Kommentare
Bewerten

Kommentare

Kommentar hinzufügen

Bitte beachten: Kommentare erscheinen nicht sofort, sondern werden innerhalb von 24 Stunden durch die Redaktion freigeschaltet. Es dürfen keine externen Links, Adressen oder Telefonnummern veröffentlicht werden. Bitte vermeiden Sie aus Datenschutzgründen, Ihre E-Mail-Adresse anzugeben. Fragen zu den Inhalten der Sendung, zur Mediathek oder Wiederholungsterminen richten Sie bitte direkt an die Zuschauerredaktion unter info@daserste.de. Vielen Dank!

*
*

* Pflichtfeld (bitte geben Sie aus Datenschutzgründen hier nicht Ihre Mailadresse oder Ähnliches ein)

Kommentar abschicken

Ihr Kommentar konnte aus technischen Gründen leider nicht entgegengenommen werden

Kommentar erfolgreich abgegeben. Dieser wird so bald wie möglich geprüft und danach veröffentlicht. Es gelten die Nutzungsbedingungen von DasErste.de.