News

eBay: Rund 33.000 sensible Emails aus dem Ausländeramt Lübeck verkauft

Bild von Simon Lüthje Simon Lüthje31. Januar 2022
Festplatte HDD

Ausgediente PCs und Notebooks von Firmen und Behörden treten oftmals den Gang zur Online-Auktionsplattform eBay an. Blöd nur, wenn die darauf befindlichen Daten nicht vollständig gelöscht wurden. Wie jetzt bekannt wurde, landeten auf diesem Weg knapp 33.000 Emails mit sensiblen Daten des Ausländeramtes Lübeck bei eBay.

Ausgemusterte PCs bei eBay

Das Magazin c’t berichtet von einem brisanten Vorfall von Michael S., der bei der Online-Auktionsplattform eBay in zwei ganze 13 günstige PCs für seine Firma geschossen hatte. Die PCs vom Typ Fujitsu D756 SFF wurden vom Verkäufer onkellaepi2020 angeboten und sollten eigentlich ohne Festplatte ausgeliefert werden.

Eigentlich, denn beim Öffnen der Gehäuse wies einer der Computer eine verbaute Festplatte auf. Es handelte sich um einen ausgesonderten PC, der mit einem gelben Punkt an der Gerätefront versehen war. Beim Start zeigte sich, dass Windows 7 installiert und der Desktop mit einem Hintergrundbild der Hansestadt Lübeck versehen war.

Ohne die Inhalte genauer anzuschauen, soll der Käufer die Festplatte ausgebaut, mit der Aufschrift „Schrott“ versehen und den Vorfall gemeldet haben. c’t habe die Festplatte des PCs mit dem Windowsnamen „LS46-WS-1091“ dann geprüft und festgestellt, dass dieser offenbar im Ausländeramt der Hansestadt eingesetzt wurde.

Er enthielt Daten aus der Zeit vom 20. Januar 2016 bis zum 29. Juni 2021. In diesem Zeitraum wurden zudem immer wieder neue Nutzerkonten angelegt, ohne die vorangegangenen Konten samt ihrer dazugehörigen Daten zu löschen. Insgesamt fanden sich 31 Konten auf der Festplatte.

„Diese Schlamperei erlaubte uns, ohne große Mühe immerhin 18 Mitarbeiter sowohl namentlich als auch mit ihrer Funktion in der Behörde zu identifizieren,“ schreibt c’t.

Datensatz verrät viele Details

Der Datensatz auf der Festplatte verrät allerdings nicht nur Details über die Mitarbeiterinnen und Mitarbeiter, die den PC genutzt haben, sondern auch über die Arbeitsweise des Ausländeramts der Hansestadt Lübeck.

Demnach scheint es innerhalb der Behörde einen Scanner zu geben, der eingehende Dokumente und Faxe erfasst und an die Sachbearbeiter verteilt. Diese werden zu Akten zusammengefügt, die sich offenbar auch in großen Mengen direkt vom Server herunterladen lassen.

48 komplette Akten, unter anderem zu Visa-Anträgen, seien bei der Recherche allein in einem der Benutzerprofile gefunden worden. Die brisanten Details waren dabei offensichtlich und vollständig einsehbar und enthielten sämtliche Informationen wie Personendaten aller an dem Visa-Antrag Beteiligten, Verdienst- und Vermögensnachweise deutscher Bürger und vieles mehr.

„Mehr als 33.400 E-Mails mit hochbrisanten Inhalten konnten wir ohne Mühe und ohne Einsatz forensischer Werkzeuge auf dem Datenträger ausmachen.“

Sensible Daten

Aus datenschutzrechtlicher Sicht stellt dieser eBay-Verkauf natürlich ein Problem dar, immerhin handelt es sich beim Fund um höchst sensible Daten nach Art. 9 DSGVO, da Informationen über Religion, sexuelle Ausrichtung oder ethnische Herkunft vermerkt sind. Diese Informationen sind laut Gesetz besonders streng zu schützen und dürfen unter keinen Umständen öffentlich werden.

Schuld an diesem Datenleck sei vor allem der Einsatz Microsoft Outlooks als E-Mail-Client gewesen. Zwar nutzt die Hansestadt Lübeck einen zentralen Server auf dem alle Emails gespeichert werden, doch die in der Standardkonfiguration angelegten, versteckten OST-Dateien blieben erhalten. Darin speichert Outlook jede geöffnete oder versendete Nachricht.

Wie landeten die PCs auf eBay?

Marit Hansens, Datenschutzbeauftragte für Schleswig-Holstein, verrät das Vorgehen mit ausgemusterten PCs und Datenträgern: Festplatten mit sensiblen Daten müssen vor der Verwertung der Computer aus dem Rechner entfernt und anschließend vernichtet werden.

Mitarbeiter der Hansestadt Lübeck bauen die Festplatten aus, versehen die PCs mit einem gelben Punkt und übergeben die Rechner anschließend einem Verwerter. Nach Aussage des Verwerters trug der auf eBay verkaufte PC zwar einen gelben Punkt, wurde allerdings hinsichtlich einer verbauten Festplatte nicht weiter überprüft.

Die Überprüfung und das Öffnen sämtlicher Rechner durch den Verwerter sei gemäß der mit der Hansestadt Lübeck getroffene Verwertungsvereinbarung auch nicht vorgesehen. Die Stadt schweigt derweil zu dem Vorfall. Aufgrund der laufenden Ermittlungen können man Fragen zu dem Vorfall aktuell nicht beantworten, wie Bürgermeister Jan Lindenau mitteilte.

Schlagwörter
Bild von Simon Lüthje Simon Lüthje31. Januar 2022
Bild von Simon Lüthje

Simon Lüthje

Ich bin der Gründer dieses Blogs und interessiere mich für alles was mit Technik zu tun hat, bin jedoch auch dem Zocken nicht abgeneigt. Geboren wurde ich in Hamburg, wohne nun jedoch in Bad Segeberg.

Ähnliche Artikel

Ebay hat gigantisches Tochterunternehmen verkauft

25. Juni 2021

Private Verkäufe bei eBay künftig kostenlos

28. Februar 2023
Versand Ebay Kleinanzeigen

Ebay Kleinanzeigen Versand: Alle Infos rund ums Versenden

14. Februar 2023

eBay gibt PayPal ab 2015 frei

30. September 2014

No replies yet

Beginne die Diskussion →

Neue Antworten laden...

Avatar of Basic Tutorials
Basic Tutorials

Gehört zum Inventar

9,235 Beiträge 2,615 Likes
Angeheftet Jan 31, 2022

Ausgediente PCs und Notebooks von Firmen und Behödren treten oftmals den Gang zur Online-Auktionsplattform eBay an. Blöd nur, wenn die darauf befindlichen Daten nicht vollständig gelöscht wurden. Wie jetzt bekannt wurde, landeten auf diesem Weg knapp 33.000 Emails mit sensiblen Daten des Ausländeramtes Lübeck bei eBay. Ausgemusterte PCs bei eBay Das Magazin c’t berichtet von … (Weiterlesen...)

Antworten Like

Beteilige dich an der Diskussion in der Basic Tutorials Community →

© Copyright 2024, All Rights Reserved, *Affiliate-Link
Schaltfläche "Zurück zum Anfang"