Datenschleuder: Britische Armee verschlampt Daten en masse

In Großbritannien dürften sich Cyberkriminelle und Spammer über einen Vorfall wieder besonders freuen – denn dort verlor jetzt ein Jungoffizier der Royal Navy einen Laptop. Nun an und für sich nichts besonderes, jedoch waren auf diesem die Namen, Passnummern, Versicherungsnummern, Adressen, Bankverbindungen und der Familienstand von über 600.000 Angehörigen der britischen Armee und Bewerbern gespeichert. Und warum wieder? Weil das im Grunde wirklich nichts besonderes ist, da dies der vierte Fall in 4 Monaten ist der bekannt wurde und beim ersten Mal eine CD verloren ging – nur dass diese vertrauliche Daten von knapp 25 Millionen Familien enthielt.

In zwei weiteren Fällen fand ein Bürger der dies meldete 2 Mal an der gleichen Stelle, in der Nähe des Flughafens Exeter, Dokumente die wild entsorgt wurden und übersäht waren mit vertraulichen Daten von Bürgern.

Und bisher hielten sich die zuständigen Ministerien über das Warum und Wie sehr bedeckt – viel sagen müssen sie im Grunde nicht, denn den britischen Zeitungen konnte man im Grunde alles entnehmen. In allen 4 Fällen hat es keinen Hack gebraucht, sondern lediglich menschliches Versorgen und klassische Formen der Informationsbeschaffung: Diebstahl. Und dieser geschah nicht irgendwo, sondern mitten auf militärischem Gelände, welches streng bewacht wird. Über die genauen Umstände wurde noch nichts bekannt, auch nicht über das verschwinden der CD

Und jeder der sich ein bisschen damit beschäftigt hat, kann ungefähr ahnen, was das bedeutet und was die gestohlenen Daten für kriminelle für einen Wert darstellen. Reine Adressdatenbanken mit ca. 1.000 Datensätzen werden schon im vierstelligen Bereich gehandelt – und komplette Datensätze mit zig persönlichen Informationen, also von der Adresse bis hin zur Versicherungsnummer und den Bankdaten bringen gerne zwischen 50 und 200 Dollar pro Stück auf dem Schwarzmarkt.

Dass die Misere nicht neu ist sondern altbacken und sich nichts geändert hat weiß man seit 1990, als ein Angehöriger des Militärs einen Laptop in seinem Auto hinterließ, der gestohlen wurde. Pikant an der Sache waren damals keine Datensätze, sondern dass dieser die kompletten Invasionsdaten und -pläne der britischen Armee für Kuwait enthielten, als es gegen Saddam im ersten Golfkrieg ging.

Und so können IT Sicherheitsexperten weiterhin zig Programme entwicklen um es Cyberkriminellen schwer zu machen – die Sicherheitslücke Mensch können sie nicht schließen. Und die Fälle beweisen einen Missstand besonders deutlich: Cracker und Spammer sind zwar intensiv darum bemüht, auf digitalem Weg an unsere Daten heranzukommen, doch die meisten Daten, die bestimmte Kreise nutzen wurden nicht auf diesem Wege gewonnen, sondern indem man Hardware einfach offline geklaut und die Daten verkauft hat – oder Datenträger, die von bestimmten Einrichtungen nach der Ausmusterung verkauft wurden einfach ausgewertet hat und so an diese gelang. Die Vorsicht die viele im Internet haben in Bezug auf ihre persönlichen Daten ist offline noch lange nicht anzutreffen.

Mal sehen, wann sich das mal ändert…

Beim ersten Mal gingen die Daten von Kindergeldempfängern verloren. Ich war schon echt überrascht, dass damals so lax mit dem Vorfall umging. Aber scheinbar hat Datenschutz und -sicherheit in Großbritannien ja wirklich keinen hohen Stellenwert, sonst hätte es wohl nach dem ersten bekannt gewordenen Vorfall Konsequenzen gegeben.