Datenpannen 2011

Die Liste geht ins dritte Jahr: Hier sammle ich nur grössere Datenschutzverletzungen und Datenpannen, die in Deutschland (z.T. auch in Österreich und der Schweiz) passieren, ohne Anspruch auf Vollständigkeit zu erheben. Für Hinweise in den Kommentaren oder eine kurze mail bin ich dankbar.

Es gibt unter unwatched.org eine Initiative gegen Netzsperren (Achtung, die Seite ist kommerziell, informiert aber aktuell und umfassend). Datenleck.net sammelt internationale Datenpannen.

Textende · Kommentare »
Januar · Februar · März · April · Mai · Juni · Juli · August · September · Oktober · November · Dezember

Januar 2011

• 10. Anscheinend gibt es bei der Euroweb Internet GmbH („bringt den Mittelstand ins Internet“) die Möglichkeit, mit einem einfachen Script Kundendaten auszulesen.
• 11. Interne Akten aus einem Rechtsstreit zwischen dem Landkreis Nordwestmecklenburg und der potentiellen CDU-Landratskandidatin Christiane Münter standen im Internet. Die Kreisverwaltung sieht keine Schuld bei sich. (Hintergrund, Update)
• 12. Thomas Stadler fragt: „Website des Hamburger Datenschutzbeauftragten selbst nicht datenschutzkonform?“ Anscheinend werden dort nicht alle IP-Adressen anonymisiert. Im Stern wird das Thema aufgegriffen. Update: Website vom Netz genommen. 17.1., neues Update.
• 13. Datendiebstahl beim Kolumbienforum
• 14. Heise: Datenleck bei sächsischen Radiosendern: „Auf den Webseiten der zur BCS Broadcast Sachsen GmbH & Co gehörenden Radiosender Radio Chemnitz, Radio Zwickau und Hitradio-RTL ließen sich die Daten von Teilnehmern diverser Gewinnspiele auslesen. Zu den Daten gehörten neben Name, Adresse, E-Mail-Adresse, Telefonnummer auch die IP-Adresse, von der aus sich die Teilnehmer für das Gewinnspiel eingetragen hatten.“ Update 14.1.
• 19. Netzpolitik: Erpressungsversuch gegen Frogster (Online-Games): „Zweitausend Login-Datensätze – anscheinend aber veraltete – hat er veröffentlicht, und behauptet, darüber hinaus im Besitz von insgesamt 3.5 Millionen Datensätzen zu sein.“ Update 20.1.
• 20. Zschopau: Rathaus-Frau stellte 38 Mitarbeiter bloß. „Personalsachgebietsleiterin Annette L. (46) verschickte jetzt eine Rundmail an alle Mitarbeiter – mit höchst brisantem Inhalt! Im Anhang befand sich eine Liste von 38 der rund 50 Rathausangestellten. Aus dieser wird klar, wer wie viel verdient und wer bereit ist, auf Lohn zu verzichten.“ MDR-Bericht
• 22. Aktion #fsa11: Geheime Kontoregister mit vollen Kundennamen und Verbindlichkeiten wurden von einem Mitarbeiter der Kärntner/Steiermarker Bank offenbar irrtümlich per E-Mail verschickt.
• 25. IT-Fachhändler kauft Festplatten der Stadt Glücksburg für 30 Euro.
• 25. Heise: Blog veröffentlicht Logins für eBay, PayPal, Amazon, Packstation, (20.000) Mailkonten und einen Online-Händler
• 26. Panne bei Media-Markt in Halstenbek (Kreis Pinneberg): Händi mit Daten verkauft. Update, 27.1.
• 27. Offenbar weitere Datenpannen bei der Stadt Glücksburg (s. auch 25.1.)
• 31. Landratsamt Bad Hersfeld: Einbrecher klauen Computer (via Fefe)
• 31. Tagesspiegel: Sicherheitslücke bei Ryanair „Die Online-Buchung bei Ryanair lässt sich von Dritten leicht manipulieren. Das haben Recherchen des Tagesspiegels ergeben. Die Fluggesellschaft fordert Kunden auf, persönliche Daten selbst zu schützen.“

Februar 2011

• taz: Mehr Daten dank Swift an USA übertragen · Konten noch tiefer durchleuchtet
• MDR: Im Saalekreis müssen Hartz IV-Empfänger auf ihr Geld warten, weil der Umstieg auf ein neues Computersystem mangelhaft geplant wurde: Es gibt keine entsprechende Schnittstelle.
• 4. Gizmodo: Kunst? Oder einfach Missbrauch von Facebookdaten?
• 8. AWO-Patientendaten im Altpapier
• 8. Möglicher Datendiebstahl bei Onlinehändler Mindfactory
• 11. Anscheinend liegen dem Spiegel zehntausende interne mails der NPD vor. Allerdings nennt SpOn keine Einzelheiten.
• 14. Kleine Datenpanne bei 1&1
• 14. Absicht oder Panne? Zuteilungen für Radiolizenzen werden von der Landeszentrale für Medien und Kommunikation (LMK) Rheinland-Pfalz vor der Abstimmung bekannt gegeben. Update. Update 21.2.
• 24. MAZ: „Bis Anfang dieser Woche standen Unternehmensdaten, die von mehreren Firmen für die Bewerbung um den Wirtschaftspreis Teltow-Fläming 2009 eingereicht worden waren, für jedermann abrufbar im Internet. Zu den Daten gehören beispielsweise Umsatz- und Mitarbeiterzahlen [..]“

März 2011

• 3. Standard: Durch Providerfehler zwei Tage ORF-Werbung „unwiederbringlich“ weg
• 3. In der Türkei wird Blogger.com mal eben gesperrt. Im Interesse eines Pay TV-Senders.
• 6. Usedom will Licht in die Mailgate-Affäre bringen.
• 9. Google-Daten werden ungeprüft als wahr übernommen
• 9. Bei der BKK Gesundheit hatten Hilfskräfte des Call Centers bis vor kurzem direkten Zugriff auf sensible Daten der Krankenkassenmitglieder
• 10. CCC weist Bundesfinanzagentur auf Sicherheitslücken ihres Internet-Angebots hin: Jeder Internet-Nutzer habe dort jahrelang über seinen Browser eigene Angebote für Geldgeschäfte einstellen und Angebote der Finanzagentur verändern können
• 10. Heise: Bis zum 25. Mai müssen eigentlich die Änderungen an der sogenannten E-Privacy-Richtlinie in nationales Recht umgesetzt werden.
• 17. Wanzen gegen Mitarbeiter beim ADAC Nordbayern
• 18. Mitarbeiter eines Altenhilfebetriebs in Augsburg finden Listen mit Kollegen-Bewertungen. Update 18.4.
• 23. Neukundendaten der Telekom samt nicht veröffentlichter Telefonnummern offen einsehbar
• 26. Jahresbericht der Bremer Landesbeauftragten für Datenschutz zeigt erhebliche Verstöße: „Kameras im öffentlichen Raum gälten bereits als normal.“
• 29. Altenhilfe Augsburg: Unerlaubte, weil nicht mit dem Personalrat eines Seniorenheims abgesprochene Liste mit Personalbeurteilungen kommt in Umlauf. Update 8.4.
• 30. Erfurt: Sicherheitspanne auf LKA-Gelände, unbefugtes Eindringen offenbar ein Kinderspiel.
• 30. BP verliert Laptop mit den Daten von 13.000 Personen, die Schadensersatz wegen der Ölkatastrophe im Golf von Mexiko fordern./li>
• 31. BKK wird angeblich erpresst, da über ein Callcenter Patientendaten in den Umlauf gelangten.

April 2011

• 5. Agentur für Arbeit Celle schickt Mail mit einem Veranstaltungshinweis an 650 Kunden, dabei ist der E-Mail-Adressverteiler für alle Empfänger sichtbar. Update 6.4., Update 14.4.
• 5. Zahnarzt-Patienten-Unterlagen auf wilder Müllkippe
• 8. Bereits Ende März: Cracker gelangen über deren Dienstleister Epsilon an Daten von Treueprogramm-Teilnehmern der Hotelketten Hilton, Marriott, Ritz-Carlton.
• 8. Facebook veröffentlicht Benutzerdaten seines Journalismusportals. Wenigstens würdige Gegner.
• 13. Geldautomaten in Wandsbek, Altona und Bramfeld ausspioniert, 1300 Menschen betroffen.
• 19. Mindfactory und Ashampoo werden Opfer von Datendiebstahl. „Daten wie Zahlungsinformationen, etc. sind davon nicht betroffen, da Ashampoo diese Daten nicht speichert,“ informiert Ashampoo seine Kunden.
• 20. Durch einen technischen Fehler bei „City-Post“ wurden rund 20.000 Karten für die Bremer Bürgerschafts- und Stadtverordnetenwahlen mit falschen Adressen bedruckt und z.T. schon versandt.
• 27. futurezone: Sony PlayStation-Datenleck: Tipps zum Datenschutz. (Sicherheitsexperte auf heute.de: Hacker-Attacke geht weit über Sony hinaus)
• 28. Namen, Anschrift, bisherige Arbeitgeber und Jahresgehälter einsehbar für jeden: Die Unesco hat über Jahre Bewerbungsunterlagen von Diplomaten, Wissenschaftlern und Mitarbeitern ins Netz gestellt.

Mai 2011

• 2. Navigationsgerätehersteller TomTom gibt GPS-Daten der Kunden ohne ihr Wissen an die Polizei weiter, die nutzt sie zur verbesserten Positionierung von Radarfallen.
• 2. Erneut Millionen Bankdaten gestohlen: Sony meldet Hackerangriff auf weiteres Netzwerk
• 3. Dropbox: Datenleck gibt Privatfotos für alle frei
• 5. Achtung, zumindest Master-Passwörter ändern: LastPass wurde gehackt (kostenlose Keyword-Verschlüsselung für Passwörter, ähnlich KeyPass). Update: Fefe hat Recht, bitte beherzigen.
• 10. FR: In der ehemaligen Tannenwaldklinik in Bad Schwalbach wurden herumliegende Akten von Psychiatrie-Patienten gefunden.
• 11. Werbekunden konnten über Jahre auf die Profile von Facebook-Anwendern zugreifen, Fotos ansehen, Chats mitlesen.
• 11. NWZ/n-tv: Auf der Internetseite zur Volkszählung (Zensus 2011) klafft eine eklatante Sicherheitslücke. Das berichtet n-tv.de. Nach Ansicht des IT-Experten Jan Schejbal könnte ein Angreifer eingegebene Daten abfangen.
• 13. RP über #zensus11: „Alle Fragen in diesem Fragebogen beziehen sich auf diese Anschrift“. Die ist aber leider falsch.
• 21. FAZ: Wegen einer Panne konnte das Kontrollsystem der Polizei die Daten von 10.000 Mitarbeitern des Frankfurter Flughafens nicht oder nur teilweise der regelmäßigen Sicherheitsüberprüfung unterziehen.
• 23. Uni Potsdam: Personalien von 20.000 Studenten standen zum Download. Update 6.7.
• 25. Wer hätte DAS gedacht?! FR: „Unter bestimmten Voraussetzungen können Angreifer über das Telematiksystem Geschäfte im Namen des Arztes tätigen“ – die neue Gesundheitskarte ist sicher! Wie die Rente. Update 29.5.
• 25. t3n: Student baut mühelos Datenbank mit 35 Mio Google Profilen
• 27. Der Westen: Volkszählung · Datenpanne – ausgefüllter Zensus-Fragebogen lag im fremden Briefkasten
• 31. Millionenfacher Datendiebstahl bei Neckermann.de: Unbekannte Hacker haben bei einem Angriff private Informationen von 1,2 Millionen Gewinnspielteilnehmern entwendet.

Juni 2011

• 4. Kundendaten frei im Internet: O2 can do.
• 6. Golem: ACER: 40.000 Kundendaten in fremden Händen
• 9. Erzbistum Freiburg: Offenbar hat die Diözese Name und Anschrift eines Missbrauchsopfers an den Täter weitergeleitet. Update: Originalbeitrag in der ZEIT.
• 10. SZO: Datenleck im Chemnitzer Rathaus.
• 12. Gulli/tagesschau: Schufadaten zu lesen, ist nur eine Fingerübung.
• 14. multicult.fm: Beim sächsischen Justizministerium private Daten von 120 nationalen und internationalen Journalisten zugreifbar – inklusive Personalausweisnummer.
• 21. Netzpolitik: Mehr als 40 Aachener Überwachungskameras übermitteln ihr Bildsignal analog und unverschlüsselt an die Überwachungszentrale.
• 21. MDR: Sächsisches Landeskriminalamt speichert und wertet seit 2009 tausende Kundendaten der Baumarktkette OBI sowie zehntausende Mobilfunkdaten aus.
• 21. NDR: Mitschnitt einer Postbank-Schulungsveranstaltung für Finanzberater könnte Postbank juristisch in Bedrängnis bringen. Berater müssen bei geschlossenen Fonds Provisionen offenlegen, werden aber anscheinend geschult, das nicht zu tun.
• 21. Vertrauliche mail eines Postbank-Mitarbeiters an 70 Adressaten läßt deren Mailadressen offen für alle sichtbar.
• 22. Französisches Sicherheitsunternehmen Vupen verkauft Lecks an Polizei
• 24. Bayernpartei versendet Pressemitteilungen mit offenem Verteiler.
• 24. taz: Offenbar ganz Dresden überwacht: Sächsisches Innen- und Justizministerium räumt die Erfassung von über 1.000.000 Mobilfunk-Verbindungsdaten ein. (s. auch 21.)
• 25. Hauptstadtflughafen: Im Testbetrieb können Nutzer persönliche Informationen von anderen Nutzern lesen.
• 27. Gulli: SPD Sachsen schlampt bei Nutzerdaten. Update 4.7.

Juli 2011

• 6. Netzpolitik: Bahn.de: XSS-Sicherheitslücke. Macht aber nix.
• 8. Hacker klauen Lehrerdaten beim Schulbuchverlag Westermann
• 12. Rund 10.000 HaSpa-Firmenkunden ohne Online-Kontozugang.
• 12. Wieder stehen als vertraulich eingestufte Daten auf der Homepage der Stadt Chemnitz.
• 16. RP: Düsseldorfer Rheinbahn reagiert erst nach zwei Tagen auf Hinweise aus der Belegschaft: „Beurteilungen, Zeugnisse und Abmahnungen[, s]ogar E-Mails waren ungeschützt, auch die des Vorstands“.
• 17. SN: Computerhacker sind auf der Suche nach Kundendaten in das Netzwerk des Handelskonzerns Rewe eingedrungen.
• 29. Edeka-Tochter Marktkauf: „Die Kundendatenbank hat den Besitzer gewechselt“

August 2011

• 7. datenleck.net: Daten von Sozialverein Neusehland auf dem Müll: „Detaillierte Berichte zu psychischen und physischen Erkrankungen, über Missbrauch, Verwahrlosung und Betreuungsbedarf. All das verbunden mit Namen und Anschriften der Betroffenen, Lebensläufen, Zeugnissen, Briefen und ärztlichen Befunden.“
• 8. Jan Schejbal hat ein neues eID-Problem entdeckt: ePerso kann remote missbraucht werden.
• 10. Trotz Teilnahme an Volkszählung Mahnungen versandt.
• 26. Sparda-Bank versendet vertrauliche Post und Daten an falschen Kunden (nofollow-Link zu Bild).
• 26. heise: Schon im August 2009 (!) 500.000 Mitgliederdatensätze bei der CDU verschwunden, fiel angeblich jetzt beim „Wiederauftauchen“ im Netz erst auf. Spezialspezialisten. Pressestelle nach Diktat verreist …

September 2011

• 14. Magdeburg: Sparkassenkunden in 900 Fällen ausgespäht.
• 21. Upps. Da hatte wohl jemand keinen Bock, berliner Wahlbriefe ordnungsgemäß abzuliefern.
• 21. Die TSG Hoffenheim macht sich gerade keine neuen Freunde: TSG-Videoportal-Abonnenten finden ihre persönlichen E-Mail-Adressen in einer Rundmail.
• 30. Anonymous Austria war fleissig. Vielleicht kriegen die jetzt die Debatte hin, die bei uns auch so nötig wäre.

Oktober 2011

• 7. Akten von zwei Berufskollegs lagen an der Autobahn.
• 8. In Rheinland-Pfalz wird ELStAM (elektronische Lohnsteuerkarte) eingeführt: „Die Daten sind extrem sicher.“ Schau’n mer mal.
• 10. Schaar warnt vor Bundestrojaner. Ach.
• 15. ELStAM – sagte ich es schon? In Bayern, übrigens.
• 24. DB Deutsche Bahn speichert bei Händi-Ticketkauf 10 Monate Bewegungsdaten. Geht auch nur bei Telekom und Vodafone – und frischem Akku.
• 24. Niedliche Sicherheitslücke bei Amazon.

November 2011

• 1. Hanau: Fehlerhafter Mailaccount der CDU-Fraktion leitet mails direkt an SPD-Fraktionsvorsitzende weiter – seit Mitte August. Update 2.11., Update 14.12.
• 1. ELStAM (elektronische Lohnsteuerkarte) scheint ähnlich erfolgreich zu werden wie der neue Personalausweis und die Gesundheitskarte. Zu den Geschäften mit den Karten Jörg Tauss bei Gulli. Update bei Heise.
• 2. RZ: Umweltministerium RP: Durch Panne vertrauliche Nürburgring-Daten im Netz
• 2. hr: Die Bahn: Daten von Kunden bleiben in der Anmeldemaske des Ticketsystems gespeichert, der nachfolgende Kunde kann Adresse, Telefonnummer und Bankverbindung sehen. Update 3.11.
• 3. Upps, da war der Herr Weichert wohl zu arg auf sein Feindbild fokussiert. Sicherheitslücke bei Internetdienstleister: Behörden- und Klinikbriefe, Befunde und psychologische Dokumentationen konnten sogar heruntergeladen werden.
• 7. Piraten verteilen mail. o_O
• 9. In Braunschweig macht der OB dann mal umfassendes Transaction Tracking. Mit einem irren System und ebensolchen Begründungen.
• 10. Akten mehrerer Anwaltskanzleien im Altpapier.
• 13. Oberhausenerin bekommt Briefe mit sensiblen Bank- und Firmendaten von der Gerichtskasse Düsseldorf.
• 23. Climagate: Hacker veröffentlichen vor dem Klimagipfel Tausende gestohlener E-Mails von Klimaforschern.
• 23. Update zur Rendsburger Provider/Patientendaten-Meldung vom 3.11.: Waren wohl noch ein paar Daten mehr, gerade sind wir bei 7000.
• 24. RP: Kontakt- und E-Mail-Daten, in 30 Fällen auch Bankdaten, sind im Fanshop von Borussia Mönchengladbach gehackt worden.
• 24. In Duisburg hat anscheinend jemand Personaldaten der Duisburger Verkehrsgesellschaft (DVG) „befreit“. Update 8.12.
• 26. SK: Krankenakten aus dem Schwarzwald-Baar-Klinikum, Post des Finanzamts Rottweil, Grundsteuerbescheide aus Villingen-Schwenningen im normalen Altpapier.

Dezember 2011

• 2. Ev. Kirchengemeinde Schwelm verschiebt Altenfeiern – keine Datensicherung gemacht? Für die alten Leute ist das bestimmt nicht so witzig.
• 2. Die HaSpa hat erneut Freude mit Outsourcing: „Wegen eines Netzwerkproblems bei einem externen IT-Dienstleister funktionieren seit Freitagnachmittag das Onlinebanking und die Kontoauszugdrucker nicht mehr“, Auszahlungen gehen anscheinend auch nicht.
• 9. Klage gegen HP: „Eine Schwachstelle hätte es Hackern erlauben können, Daten zu entwenden, Netzwerke unter ihre Kontrolle zu bringen und sogar den Drucker durch Überhitzung zu beschädigen.“
• 12. #Zensus11 mal wieder: „Neben dem leeren Fragebogen findet die Westerländerin Anna Klimek auch persönliche Angaben eines Paares aus Husum“.
• 12. Immobilienscout24 ist gehackt worden.
• 12. Telemedicus kommentiert den Entwurf zur neuen europäischen Datenschutz-Verordnung.
• 14. KN: „Aufgrund einer Datenpanne im Rathaus Eutin hat das Kieler Kreiswehrersatzamt 2300 Minderjährige angeschrieben. Inhalt des Postanschreibens: Werbung für eine Karriere bei der Bundeswehr.“
• 14. Gemeinde Windeck: „Häkchen fehlte“. Stundungen, Ausschreibungen, Verträge waren seit 2003 „problemlos“ im Netz zu finden.
• 16. SZ: Drei Jahre sind Hochschulen, Politiker und Software-Firmen mit dem Start des bundesweiten Bewerbersystems in Verzug.
• 19. Oetker: Bewerber-Namen nicht verschlüsselt, Mail-Verteiler für alle sichtbar
• 19. Vermutlich nach Datendiebstahl aus Wiener Zentrale des Mineralölkonzerns OMV Karten von 28.000 Visa- und Mastercard-Besitzern gesperrt.
• 19. Interessanter Langzeit-Selbstversuch des schweizer Journalisten Markus Schärli mit einer Kreditkarte der UBS
• 21. Ärztezeitung/eGk: „Nach Informationen des Hamburger Abendblatts hat ein Hamburger Versicherter der AOK NordWest eine neue Karte mit Foto zugesandt bekommen, ohne dass er ein Bild zur AOK geschickt haben soll. Dabei sei angeblich das biometrische Foto für seinen Personalausweis auf der Karte gelandet.“
• 21. Kabel Deutschland gibt eine falsche Kundenadresse mit allen Daten heraus. Update 23.12.
• 24. nw-news: Arminia Bielefeld: „In einer E-Mail an die Mitglieder des Fußball-Drittligisten war ein Teil des Mail-Verteilers sichtbar. 1.455 Adressen von A bis F sind nicht verschlüsselt worden.“
• 24. Wegen der Urheberschaft des Stratfor-Hacks gerüchtet es im Netz. Sicher scheint nur zu sein, dass Zehntausende Kreditkartendaten gestohlen und Gelder an Wohltätigkeitsorgs überwiesen wurden. Update 31.12.
• 27. Blucom macht merkwürdige Zeitschriftenwerbung am Telefon und versendet Abonnementsverträge, die persönliche wie Bankdaten der angeblichen Vertragsnehmer enthalten.
• 29. Auf dem #28c3 wird ein Datenleck des Statistischen Amtes für Hamburg und Schleswig-Holstein statistik-nord.de bekannt, durch das auf interne Daten zugegriffen werden konnte.
• 31. Datenleck bei der Camperplattform ACSI
• Die skurrilsten Datenverluste 2011
• Und noch eine kurze Zusammenfassung – ich finde, auf dieser Seite gibt es Kuriosere …