Die DS-GVO enthält vier Schutzziele, die bei der Verarbeitung personenbezogener Daten beachtet werden müssen – Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit. Um diese Ziele zu erreichen, müssen eine Reihe von Maßnahmen zum Schutz personenbezogener Daten getroffen werden, die sogenannten Technisch-Organisatorischen Maßnahmen (TOMs). Dass diese Schutzziele zusammenspielen und bei der Umsetzung in Form von TOMs nicht getrennt voneinander betrachtet werden sollten, zeigt eine Datenpanne bei einem der größten Autovermieter in Deutschland.

Um die Verfügbarkeit zu gewährleisten, erstellte das Unternehmen täglich ein Back-up der Daten. Die Back-up-Dateien wurden auf einem angemieteten Cloud-Rechner gesichert. Das Problem dabei war, dass aufgrund eines Konfigurationsfehlers des Servers die Dateien offen im Internet für jedermann abrufbar waren. Die personenbezogenen Daten konnten über mehrere Wochen hinweg von Internetusern ohne großen Aufwand heruntergeladen werden, was einen klaren Verstoß gegen die Vertraulichkeit und damit gegen die DS-GVO darstellte. Betroffen waren drei Millionen Kunden, darunter auch Prominente, Politiker, Beamte und Botschaften sowie Dritte, die an Unfällen mit den Mietfahrzeugen beteiligt waren, und Kunden anderer Mietportale.

Das Datenleck …

  • führte dazu, dass Millionen von Datensätzen frei im Internet verfügbar waren.
  • wurde bereits der zuständigen Datenschutzaufsichtsbehörde gemeldet und wird weitere Ermittlungen zur Folge haben.
  • hat durch die Präsenz in den Medien einen erheblichen Imageverlust für das Unternehmen verursacht.

Hintergründe

Aufgefallen ist die Sicherheitslücke des Autovermieters zunächst bei einem Routine-Scan einer privaten Gesellschaft für Cybersicherheit. Der Inhaber hatte wohl mehrfach versucht, mit dem betreffenden Unternehmen Kontakt aufzunehmen und sie über das Datenleck zu informieren. Nachdem eine Reaktion ausblieb, meldete er den Datenschutzverstoß bei der zuständigen Datenschutz-Aufsichtsbehörde und wendete sich gleichzeitig an zwei Zeitungen bzw. Magazine. Die beiden Medien untersuchten den Vorfall im Rahmen einer gemeinsamen Recherche weiter. Da die Aufsichtsbehörde bei Meldungen von Datenschutzverstößen aktiv werden muss, werden hier ebenfalls weitere Ermittlungen folgen, bei denen die Einhaltung des Datenschutzes bei dem Autovermieter auch in anderen Bereichen geprüft wird.

Einen weiteren potenziellen Datenschutzverstoß hat die Sicherheitslücke bereits offengelegt, denn die betreffenden Datensätze stammen teilweise aus Zeiträumen, die mehr als zehn Jahre zurückliegen. Kann das Unternehmen keinen zulässigen Grund nachweisen, warum die Daten weit über die gesetzliche Aufbewahrungspflicht hinaus gespeichert wurden, stellt dies einen Verstoß gegen die datenschutzrechtliche Löschpflicht dar.

Ursache der Sicherheitslücke

Ursächlich für das Datenleck war ein Fehler in der Konfiguration eines Back-up-Servers. Ein offener Port ermöglichte es jedem Internetuser, die auf dem Server gespeicherten Daten herunterzuladen. Betroffen war der Port 445, der Zugriffe über das Netzwerkprotokoll SMB erlaubt. Das Server-Message-Block(SMB-)-Protokoll, das der „Prozesskommunikation“ dient, ist in lokalen Netzwerken für die Übertragung von Daten zwischen einem Client und einem Server verantwortlich. Gab der Nutzer nun die IP-Adresse des Servers im Windows-Datei-Explorer ein, hatte große Festplatten und ein paar Stunden Zeit zur Verfügung, konnte er, ohne ein Passwort eingeben zu müssen, insgesamt mehr als zehn Terabyte an Daten herunterladen.

Millionen von Datensätzen frei verfügbar

Laut Recherche der Medien enthielt das Back-up Millionen von Datensätzen, auf dem Server lagen …

  • über fünf Millionen Dateien mit umfangreicher Firmenkorrespondenz samt eingescannten Rechnungen, Verträgen, Mails und Schadensbildern.
  • über neun Millionen Mietverträge von 2003 bis heute aus der Microsoft-Firmendatenbank, die komplett auf dem Server gesichert war.
  • 3000 Passwörter in Klartext.

Betroffen waren sensible Daten von Mietern, Fahrern und Kunden anderer Mietportale. Darunter …

  • Namen, Adressen und Geburtsdaten
  • Führerscheinnummern und Ausstellungsdaten
  • Mobilfunknummern und E-Mail-Adressen
  • Zahlungsinformationen und Bankverbindungen

Bei ihren Untersuchungen trafen die Redakteure zudem auf eine Datenbank mit 500.000 Unfällen, die bis in das Jahr 2006 zurückreichten. Neben Informationen über die Fahrer der vom Unternehmen gemieteten Fahrzeuge waren hier auch Namen, Adressen, Telefonnummern und Kennzeichen von Unfallgegnern sowie Zeugen gespeichert. Hierzu gehörten auch Kontaktdaten von Verletzten und tödlich Verunglückten sowie ein Vermerk, ob von der Polizei eine Blutprobe angeordnet worden war.

Außerdem bestätigte das betroffene Unternehmen nach Bekanntwerden des Vorfalls in einer Mitteilung an die Medien, dass unter den abhandengekommenen Datensätzen auch Namen, Log-in-Daten und Passwörter von Mitarbeitern zu finden waren.

Folgen für das betreffende Unternehmen

Laut eigenen Angaben des Autovermieters gegenüber den Medien, die in dem Vorfall recherchiert hatten, wurde das Leck noch am selben Tag geschlossen. Die Daten seien nicht mehr frei über das Internet verfügbar. Die möglicherweise abgegriffenen Daten können aber nicht zurückgeholt werden. Auch wenn die Sicherheitslücke nun behoben ist, haben viele Medien bereits über das große Datenleck bei dem Unternehmen berichtet und den Verantwortlichen dabei namentlich genannt. Das Image des Autovermieters dürfte dadurch nachhaltig geschädigt worden sein, das Vertrauen der Kunden muss neu aufgebaut werden. Neben diesen finanziellen Einbußen wird sich das Unternehmen auf Schadensersatzforderungen von Betroffenen und gegebenenfalls ein Bußgeld seitens der Aufsichtsbehörde einstellen müssen.

Neben dem Schließen der Sicherheitslücke hat der Autovermieter bereits weitere Maßnahmen getroffen, um den entstandenen Schaden einzudämmen. In einer Mitteilung entschuldigte sich das Unternehmen bei seinen Kunden und gab an, alle notwendigen Technisch-Organisatorischen Maßnahmen zu ergreifen, um künftig ein ausreichendes Schutzniveau für die Daten gewährleisten zu können. Zusätzlich hat das Unternehmen Experten im Bereich der Datensicherheit beauftragt, um diesen Schutz im Bereich Verteidigungs- und Cybersicherheit sicherzustellen. Seinen Informationspflichten gegenüber den von der Datenpanne betroffenen Personen nach Art. 34 DS-GVO will der Autovermieter nachkommen.

Grundsätzliche Anforderungen an ein Back-up

Der Datenschutzverstoß macht deutlich, dass die Vertraulichkeit nicht nur für Daten im alltäglichen Betriebsablauf gewährleistet werden muss, sondern auch beim Back-up. Dieses dient dazu, die Verfügbarkeit von (personenbezogenen) Daten sicherzustellen – gehen Datenträger kaputt oder verloren oder werden Daten unbeabsichtigt gelöscht, können die Dateien aus dem Back-up wiederhergestellt werden. Das bedeutet auch, dass auf dem Medium regelmäßig eine große Menge an Daten gespeichert sind, was auch die Vielzahl an verlorenen Dateien bei dem Autovermieter zeigt. Mit anderen Worten: Erhalten Unbefugte Zugriff auf das Back-up, können sie in der Regel sogar mehr Informationen abgreifen als bei einem Angriff auf einzelne Programme oder Computer.

Bei der Erstellung eines Back-up- und Recovery-Konzeptes ist es daher essenziell, neben der Wiederherstellbarkeit der Daten im Schadensfall auch den Schutz vor unberechtigtem Zugriff sicherzustellen. Das heißt, die Back-up-Medien/-Geräte bzw. die Dateien müssen entweder verschlüsselt sein oder die Medien/Geräte selbst müssen beispielsweise durch Lagerung in einem Safe vor dem Zugriff Unbefugter geschützt werden.