Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwehrt bleiben

PC & Internet 33.000 hochsensible Mails aus dem Ausländeramt Lübeck bei eBay verkauft

eBay ist eine Fundgrube für ausgemusterte Firmen- und Behörden-PCs. Mitunter findet man aber brisante Daten, die keinesfalls an die Öffentlichkeit gehören.

proxy.jpg

Da staunte Michael S. nicht schlecht: Grade hatte er bei eBay im Auftrag seines Unternehmens bei zwei Auktionen insgesamt 13 PCs vom Typ Fujitsu D756 SFF von Verkäufer onkellaepi2020 erworben. Die Rechner sollten eigentlich ohne Festplatte geliefert werden, doch in einem steckte eine drin.

Der PC wurde ausgesondert. Ihn zierte, wie alle Rechner aus der Lieferung, ein gelber Punkt an der Gerätefront. Bei einem Teststart meldete sich Windows 7 mit einem Desktop-Hintergrund der Hansestadt Lübeck. An dem Rechner und den darauf möglicherweise zu findenden Daten wollte sich Michael S. lieber nicht die Finger verbrennen. Also baute er die Platte aus, beschriftete sie mit „Schrott“ und meldete den Fund der c’t-Redaktion.

Daten-Fundgrube

Dass Behörden-PCs mitsamt Festplatte bei eBay auftauchen, ist für uns keine Überraschung. Immer wieder gibt es solche Funde und zumeist enthalten die Rechner kaum verwertbare Daten. Trotzdem ist jede neue Meldung Anlass für eine sorgfältige Analyse der Systeme im c’t-Labor. Wir ließen uns deshalb die Festplatte von Michael S. zusenden.

Schon beim ersten Blick auf die Daten auf der Festplatte aus der Hansestadt Lübeck war klar: Dieser Fund hat eine besondere Brisanz. Der PC mit dem Windows-Namen „LS46-WS-1091“ wurde anscheinend im Ausländeramt der Hansestadt eingesetzt. Er enthielt Daten aus der Zeit vom 20. Januar 2016 bis zum 29. Juni 2021. Im Laufe dieser fünfeinhalb Jahre wurden immer wieder neue Nutzerkonten angelegt. Das Löschen alter Konten und der zugehörigen Daten war nicht erfolgt, sodass nun 31 Konten zu finden waren.

Diese Schlamperei erlaubte uns, ohne große Mühe immerhin 18 Mitarbeiter sowohl namentlich als auch mit ihrer Funktion in der Behörde zu identifizieren. Darunter Mitarbeiterinnen wie Anja B. (alle hier genannten Namen wurden von uns anonymisiert), die nur wenige Monate im Ausländeramt ihr Referendariat ableistete, oder Berta C., die anscheinend im Jahre 2019 zehn Monate lang für den Telefonservice des Amts zuständig war. Wir fanden auch Spuren langjähriger Mitarbeiter wie beispielsweise Claus D., Sachbearbeiter "Aufenthaltsbeendigung", oder Dieter E., der wohl im Gebäudemanagement und möglicherweise auch im Personalrat der Behörde aktiv war.

Die Daten auf der Festplatte geben Hinweise auf die Arbeitsweise der Ausländerbehörde. So scheint es einen zentralen Scanner zu geben, über den eingehende Dokumente erfasst und dann per E-Mail an die zuständigen Sachbearbeiter weitergeleitet werden. Auch Faxe an die Behörde werden augenscheinlich per E-Mail verteilt.

Arbeitsweise und Strukturen

Aus diesen Dokumenten entstehen dann komplette Vorgangsakten, dich sich Mitarbeiter anscheinend in größeren Mengen vom zentralen Server herunterladen können – das legen zumindest 48 komplette Akten unter anderem zu Visa-Anträgen nahe, die wir im Download-Verzeichnis des Users Stobata entdeckt haben.

Die vom System als "Gesamtakte" bezeichneten PDF-Dateien wurden zwischen 12. und 21. Oktober 2020 auf dem Arbeitsplatzrechner gespeichert. Jede Akte enthält Personendaten aller an dem Visa-Antrag Beteiligten, also auch Verdienst- und Vermögensnachweise deutscher Bürger, wie sie bei der Einladung von Freunden und Verwandten aus dem nicht visabefreiten Ausland üblicherweise gefordert werden.

Der Datenschatz


Die E-Mail-zentrierte Arbeitsweise der Behörde führte schließlich zum größten Datenfund auf der Festplatte: Mehr als 33.400 E-Mails mit hochbrisanten Inhalten konnten wir ohne Mühe und ohne Einsatz forensischer Werkzeuge auf dem Datenträger ausmachen. Darunter waren sowohl Daten zu Asyl- als auch zu Ausweisungsverfahren.


Du musst dich Anmelden oder Registrieren um diesen link zusehen!

Mit einem Degaußer wäre das nicht passiert: So ein Gerät erzeugt ein starkes Magnetfeld, das magnetische Datenträger samt Servo- und Wartungsinformationen löscht.
(Bild: Daniel AJ Sokolov)

Eigentlich zu allem, was es an Vorgängen in einem Ausländeramt gibt, konnten wir passende Daten finden. Egal, ob es um Einbürgerungen, Namensänderungen, Grenzübertrittsbescheinigungen, Wiedereinreisesperren, Fahndungsausschreibungen, Abschiebungsanordnungen, Meldeakten und so weiter ging: In den E-Mails und ihren Anhängen auf der Festplatte gab es all diese Vorgänge nebst zugehöriger Betroffenendaten zuhauf.

Aus datenschutzrechtlicher Sicht handelt es sich dabei zum Teil um höchst sensible Daten nach Art. 9 DSGVO, soweit etwa Religion, sexuelle Ausrichtung oder ethnische Herkunft enthalten sind. Diese Informationen sind besonders streng zu schützen und dürfen unter keinen Umständen öffentlich werden.

Fehlerquelle MS Outlook

Schuld an diesem über Jahre angehäuften Datengrab war vor allem der Einsatz Microsoft Outlooks als E-Mail-Client. Zwar nutzt die Hansestadt Lübeck einen zentralen Server auf dem alle E-Mails gespeichert werden. Doch in der Standardkonfiguration legt Microsoft Outlook für jeden Nutzer versteckte sogenannte OST-Dateien an. In diesen hinterlegt Outlook jede geöffnete oder versendete Nachricht. Selbst vermeintlich gelöschte Nachrichten finden sich in den OST-Dateien wieder.

Zweck des lokalen Zwischenspeichers ist Reduzierung der Serverlast und Verringerung des Netzwerkverkehrs. Erkauft wird das mit der nun nicht mehr zentralen Datenhaltung und den sich daraus zwangsläufig ergebenden Datenschutzproblemen. Zwar lässt sich MS-Outlook auch so konfigurieren, dass keine lokalen Zwischenspeicher entstehen. Vielen Admins ist das aber nicht bekannt – oder sie scheuen diese Option, weil der Zugriff auf E-Mails dann merklich langsamer werden kann.

Wer im Behördenumfeld und beim Umgang mit sensiblen Personendaten unbedingt MS-Outlook nutzen will, muss zumindest dafür sorgen, dass die Daten auf der Festplatte verschlüsselt hinterlegt werden. Andernfalls kann jeder mit physischem Zugriff auf den PC die Daten leicht lesen oder gar extrahieren. Verschlüsselung kostet allerdings ein bisschen Performance.

Der Weg der Daten

Doch wie kommt ein PC mit Daten des Ausländeramts Lübeck zu eBay? Nach Auskunft Marit Hansens, Datenschutzbeauftragte für Schleswig-Holstein, schreibt das Land vor, dass Datenträger mit sensiblen Daten wie Festplatten vor der Verwertung ausgemusterter PCs aus dem Rechner entfernt und anschließend vernichtet werden müssen. In der Hansestadt Lübeck scheint das so geregelt zu sein, dass Mitarbeiter der Stadt die Festplatten ausbauen, die PCs dann mit einem gelben Punkt versehen und den Rechner anschließend an einen Verwerter übergeben.

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

Solche Akten mit persönlichen Daten von Antragstellern gehören unter Verschluss und nicht auf die Festplatte eines bei eBay erworbenen PCs.

Im Falle der an uns übergebenen Festplatte scheint da geschlampt worden zu sein. Nach Aussage des Verwerters trug der via eBay verkaufte PC zwar einen gelben Punkt, ob in dem Rechner dann aber auch wirklich keine Platte mehr war, hätte er nicht überprüft. Die mit der Hansestadt Lübeck getroffene Verwertungsvereinbarung sehe auch nicht vor, dass er jeden einzelnen PC noch einmal aufschrauben und überprüfen müsse, beteuerte der Verwerter im Gespräch mit c’t.

c't wartet auf Ermittler

Gern hätten wir zu diesem Fall auch die Position der Hansestadt Lübeck gehört, doch dort hüllt man sich in Schweigen. Unsere Fragen könne man aufgrund der laufenden Ermittlungen leider nicht beantworten, teilte uns Bürgermeister Jan Lindenau mit. Man habe den Vorfall an die Landesdatenschutzbehörde gemeldet und Anzeige erstattet. Gleichzeitig forderte er uns auf, ihm die Festplatte mit den Daten des Ausländeramts Lübeck zu übergeben.

Wir teilten dem Bürgermeister daraufhin mit, dass die Festplatte bis auf Weiteres bei uns in sicherer Verwahrung verbleibt. Wir händigen diese gern unabhängigen Ermittlungsbehörden aus, nicht aber Beteiligten an diesem Datenschutzskandal. Bis zum Redaktionsschluss hat sich allerdings noch keine Ermittlungsbehörde bei c’t gemeldet.

Wir sind gespannt, wie diese Geschichte weitergeht und ob es tatsächlich Ermittlungen gibt. Die Datenschutzbehörde aus Schleswig-Holstein hat bereits angekündigt, sich die Sache sehr genau anzusehen.

Quelle; heise
 
Ich frage mich wie in den Augen von c't "unabhängigen Ermittlungsbehörden" aussehen? :D Detektiv Conan oder wie?
 
Das kann ja passieren,ich bin damals auch auf HDDs von Bundeswehr gestoßen, wo die Einsatzpläne von Sarajevo in Bosnien von 1996 waren,wie die anderen Sachen,
Wichtigsten aber,
ich konnte es aber nicht zu Geld machen, ich war 10 Jahre zu spät*Mist:)
Alter schinken interresiert keinem.
 
Kauft mal gezielt gebrauchte Festplatten bei Ebay.
Dies hab ich mal vor einiger Zeit gemacht.
Die gekauften Festplatten sind wie Überraschungseier, man weis nie was da so interessantes drauf ist.
Das kann von der Musiksammlung bis hin zu Schmuddelfilme alles sein.
Auch noch komplett installierte Betriebssysteme sind auch noch dabei.
Selbst Dokumente und Bilder gibt es noch als Bonus dazu.
 
Zurück
Oben