Vor gut einem Jahr gelangte eine Festplatte mit Bürgerdaten aus dem Landratsamt in den freien Verkauf. Was seither verbessert wurde.
Sensible Daten verdienen besonderen Schutz. Daraus ergibt sich eine hohe Verantwortung für alle, die damit umgehen. Je persönlicher gespeicherte Informationen sind, desto größer ist daher auch die Katastrophe, wenn Daten in falsche Hände geraten. Genau das traf vor gut einem Jahr das Landratsamt Coburg. Eine SSD-Festplatte mit Tausenden Bürgerdaten war über eine Internetplattform versteigert worden. Der ersten Aufregung folgten Ermittlungen zur Frage: "Wie konnte das passieren?" Ein Jahr danach stellt sich die Frage: "Könnte das wieder passieren?"
Amtsfestplatte im Internet verkauft
Das Amt nutzte Leasing-Geräte. Mit der Firma, die diese zur Verfügung stellte, war vereinbart, dass beschädigte Speichermedien zurückgenommen werden. Sie sollten ordnungsgemäß gelöscht werden. Das war offenbar nicht der Fall. Denn eine SSD-Festplatte wurde im Internet als "neuwertig" angeboten. Der Käufer entdeckte die gespeicherten Daten aus Jugendamt und Zulassungsstelle und informierte eine Computerzeitschrift. So kam der Stein ins Rollen. Die Staatsanwaltschaft für Cyberkriminalität ermittelte.
Mit der Firma, die damals die Rechner betreute und die ausgedienten Festplatten mitnahm - nicht ohne ein Löschzertifikat zu erstellen - werden keine Geschäftsbeziehungen mehr gepflegt, wie Corinna Rösler, Pressesprecherin des Landratsamtes, auf Anfrage erklärte.
Die Computerzeitschrift "ct" hatte nach eingehender Untersuchung der Festplatte Kritik an Arbeitsabläufen im Landratsamt geäußert. Dass sich daraus Sicherheitsrisiken ergeben hätten, weist Corinna Rösler entschieden zurück: "Die IT-Architektur des Landratsamtes ist und war zu keiner Zeit unsicher aufgestellt. Das Datenleck entstand, da seinerzeit im Falle von Plattendefekten kein Plattenverwurf vereinbart war, und die mit der Löschung der Datenträger beauftragte Firma ihren vertraglichen Verpflichtungen nicht nachkam."
Vernichtung statt Rücknahme
Letzteres ist inzwischen nicht mehr möglich. Denn die Datenträger werden nicht mehr aus der Hand gegeben, wie Corinna Rösler versichert: "Schadhafte oder ausgediente Speichermedien werden vernichtet. Sowohl Transport als auch Vernichtung erfolgen unter Beaufsichtigung durch Mitarbeiter des Landratsamtes." Zudem werden die Datenträger aller Arbeitsstationen verschlüsselt und die Mitarbeiter haben keinen Umgang mit den Schlüsseln, wie sie erklärt. Wie nach der Panne angekündigt, sei inzwischen ein Informationssicherheitskonzept erarbeitet worden.
Dass es auf den Festplatten umfangreiche "Datenhalden" direkt auf den Rechnern der Mitarbeiter gab, wie es "ct" formulierte, war offenbar gar nicht beabsichtigt. "Eine Berechtigungsmatrix, über die der Zugang von Benutzern zu den Datenbeständen granular geregelt ist, existiert natürlich schon immer. Dieser Aspekt war zu keiner Zeit Gegenstand einer Beanstandung. Die Ablage der fraglichen Daten auf die später in die Öffentlichkeit gelangte Festplatte erfolgte nicht durch aktives Tun eines Benutzers, sondern vielmehr aufgrund eines bis dahin unbekannten Verhaltens der Fachsoftware. Diese speicherte in einem verborgenen Verzeichnis Daten zur Übergabe an ein weiteres Fachverfahren, ohne diese nach erfolgter Übergabe zu löschen. Es wurden nach Bekanntwerden Vorkehrungen getroffen, die die Löschung sicherstellen", erklärt Corinna Rösler.
Die Mitarbeiter ständig hinsichtlich Fragen der Datensicherheit zu sensibilisieren, sei auch schon vor der Panne üblich gewesen und werde auch weiter gepflegt, so Corinna Rösler. Die Zeitschrift "ct" hatte auf der SSD-Festplatte Vorgänge nachvollziehen können, die belegten, dass Passwörter von einem Nutzer zum anderen über E-Mails weitergegeben worden waren.
Ermittlungsverfahren eingestellt
Inzwischen sind die Ermittlungen der Staatsanwaltschaft abgeschlossen. Das Verfahren wurde eingestellt. "Nähere Erkenntnisse zu den Ermittlungen liegen uns nicht vor", erklärt Corinna Rösler auf die Frage, ob etwas über den Verbleib weiterer 32 Festplatten in Erfahrung gebracht worden sei, die ebenfalls von dem Unternehmen zurückgenommen worden waren. Die Behörde habe außerdem für Transparenz zu dem Vorfall gesorgt. "Die Öffentlichkeit wurde über die lokalen Medien sowie auf dem Wege der öffentlichen Bekanntmachung über die Datenpanne informiert. Mögliche Betroffene wurden von uns, soweit zu ermitteln, kontaktiert. Der Bayerische Landesbeauftragte für den Datenschutz war in das Verfahren eingebunden", erklärt Corinna Rösler.
