{"id":226330,"date":"2019-12-20T10:50:47","date_gmt":"2019-12-20T09:50:47","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=226330"},"modified":"2019-12-20T11:16:25","modified_gmt":"2019-12-20T10:16:25","slug":"ebay-fund-behrden-ssd-mit-daten-von-jugendamt-und-kfz-zulassung","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/12\/20\/ebay-fund-behrden-ssd-mit-daten-von-jugendamt-und-kfz-zulassung\/","title":{"rendered":"eBay-Fund: Beh&ouml;rden-SSD mit Daten von Jugendamt und KFZ-Zulassung"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Der Kauf einer gebrauchten SSD auf eBay hat dem Erwerber einen ungew\u00f6hnlichen Fund beschert. Auf dem Datentr\u00e4ger fanden sich pers\u00f6nliche Daten von B\u00fcrgern, die von einem Jugendamt und einer KFZ-Zulassungstelle erhoben worden waren.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg07.met.vgwort.de\/na\/1008ef1d7c9a4351bba2785f388d2a37\" width=\"1\" height=\"1\"\/>Ich bin gleich \u00fcber zwei Schienen auf das Thema aufmerksam gemacht worden. Einmal ging mir eine Pressemeldung von heise zu. Aber auch auf Twitter wurde mir das Thema vor die F\u00fc\u00dfe gesp\u00fclt.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"de\" dir=\"ltr\">SSD mit Daten aus dem Jugendamt und der Kfz-Zulassungsstelle im Handel <a href=\"https:\/\/t.co\/ENKAO1irwO\">https:\/\/t.co\/ENKAO1irwO<\/a><\/p>\n<p>\u2014 Datenschutz Aktuell (@DSAgentur) <a href=\"https:\/\/twitter.com\/DSAgentur\/status\/1207915017464664065?ref_src=twsrc%5Etfw\">December 20, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Konkret handelt es sich wohl um eine bei einer Beh\u00f6rde der Stadt Coburg ausgemusterte SSD, die Daten der Kfz-Zulassungsstelle der Stadt Coburg und des Jugendamts des zugeh\u00f6rigen Landkreises enthielt. Die SSD wurde auf eBayals vermeintlich neuwertig (als B-Ware) verkauft. Der K\u00e4ufer informierte die heise-Redaktion \u00fcber seinen Fund, die dem Fall nachgingen.<\/p>\n<h2>Beh\u00f6rden-SSD bei eBay<\/h2>\n<p>In der Pressemitteilung legt heise Details offen. \u201eUnser c't-Leser staunte nicht schlecht, als die angeblich neuwertige SSD vom eBay-H\u00e4ndler vollgestopft mit Beh\u00f6rdenakten bei ihm im Briefkasten landete\", merkt c't-Chef vom Dienst Georg Schnurer an. Laut Schnurer bat er die c't-Redaktion darum, die Sache genauer unter die Lupe zu nehmen. <\/p>\n<p>Bei den Recherchen von heise stellte sich heraus, dass sich auf der bei eBay gekauften SSD nicht nur jede Menge pers\u00f6nliche Daten von B\u00fcrgern befanden, sondern auch diverse interne E-Mails, teilweise mit Zugangsdaten zu den verschiedensten beh\u00f6rdlichen Servern. <\/p>\n<p>Doch damit nicht genug: Auch die vertrauliche Korrespondenz, die eine Mitarbeiterin der Zulassungsstelle in ihrem Zweitjob beim Jugendamt des Landratsamtes Coburg f\u00fchrte, war auf der SSD gespeichert.<\/p>\n<h2>Der Dienstleister und die L\u00f6schbescheinigung<\/h2>\n<p>Interessant ist der Fall im Hinblick auf die Frage, wie die SDD mit den sehr brisanten Daten auf eBay landen konnte. Die Redaktion von heise ging der Frage nach und fand bei weiteren Recherchen bei der Zulassungsstelle in Coburg heraus, dass es im Sommer Probleme mit der SSD gegeben hatte. Kann vorkommen.<\/p>\n<p>In diesem Zusammenhang wurde ein IT-Dienstleister wurde mit dem Austausch der SSD beauftragt. \u00dcblicherweise werden diese Auftragnehmer vergattert, die Datentr\u00e4ger sicher zu l\u00f6schen oder sogar zu vernichten. Der IT-Dienstleister stellte der Beh\u00f6rde auch eine L\u00f6schungsbescheinigung f\u00fcr die defekte SSD aus. Der IT-Dienstleister hatte wohl auch versucht, die SSD zu l\u00f6schen, aber zu kurz gegriffen.<\/p>\n<p>\"Wir fragten beim Dienstleister nach, wie die Daten auf der SSD gel\u00f6scht wurden\", erkl\u00e4rt Schnurer, \u201eund es stellt sich heraus, dass das gew\u00e4hlte Verfahren f\u00fcr Laufwerke mit magnetischer Datenspeicherung zwar geeignet sein mag, nicht jedoch f\u00fcr SSDs, die \u00fcber interne Reservesektoren verf\u00fcgen.\"<\/p>\n<p>Die vermeintlich defekte SSD wurde nicht vernichtet, weil das Landratsamt bei der Ausschreibung f\u00fcr die PC-Beschaffung explizit auf den sogenannten Festplattenverwurf verzichtet hatte. Damit gehen defekte oder ausgetauschte Festplatten und SSDs in den Besitz des Lieferanten \u00fcber. Dieser wiederum unterzog die SSD einer einfachen Funktionspr\u00fcfung und schickte sie an den Distributor als Garantiefall zur\u00fcck. Dieser verkaufte sie dann mutma\u00dflich als B-Ware weiter an einen gewerblichen H\u00e4ndler.  <\/p>\n<p>Das war ein Fehler, der den Dienstleister und m\u00f6glicherweise die Beteiligten in der Kette noch teuer zu stehen kommen k\u00f6nnte. Ich denke, dass das dies letzte Auftrag der Stadt und des Landkreises an den IT-Dienstleister war. Zudem hat die Angelegenheit ja noch eine DSGVO- und datenschutzrechtliche Konsequenz. Datenschutzaufsicht und die Kriminalpolizei haben die Ermittlungen aufgenommen. <\/p>\n<h2>Neues Informationssicherheitskonzept <\/h2>\n<\/p>\n<p>Das Landratsamt Coburg arbeitet laut heise bereits an einem neuen Informationssicherheitskonzept. Bei zuk\u00fcnftigen Ausschreibungen f\u00fcr Beh\u00f6rden PCs werde man auch nicht mehr auf den Festplattenverwurf verzichten. \u201eInzwischen hat die Zentralstelle Cybercrime Bayern die Ermittlungen \u00fcbernommen\", so Schnurer. \u201eWir sind nun sehr gespannt, was die weiteren Ermittlungen ergeben und welche Konsequenzen das Datenleck f\u00fcr die Beteiligten haben wird.\"  <\/p>\n<p>Der obige Fassung ist der Kurzauszug mit dem Sachverhalt. Die heise-Redaktion hat das gesamte Thema in <a href=\"https:\/\/www.heise.de\/ct\/artikel\/SSD-mit-Daten-von-Jugendamt-und-Zulassungsstelle-bei-eBay-gefunden-4615144.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a> ausf\u00fchrlich aufbereitet. Darin wird auch offen gelegt, wie sorglos Beh\u00f6rden mitunter im Hinblick auf den Schutz von Daten und Passw\u00f6rtern arbeiten, und warum bestimmte Sachen so implementiert waren (es gibt f\u00fcr alles eine Erkl\u00e4rung, die auf 'es gab Probleme, daher konnten wir dieses und jenes nicht so wie geplant umsetzen'). Und die Redaktion versucht aufzuzeigen, wie dieser Datentr\u00e4ger mit sensitiven Daten in den Handel gelangen konnte.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Der Kauf einer gebrauchten SSD auf eBay hat dem Erwerber einen ungew\u00f6hnlichen Fund beschert. Auf dem Datentr\u00e4ger fanden sich pers\u00f6nliche Daten von B\u00fcrgern, die von einem Jugendamt und einer KFZ-Zulassungstelle erhoben worden waren.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[451,4328],"class_list":["post-226330","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-datenschutz","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/226330","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=226330"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/226330\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=226330"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=226330"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=226330"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}