Fahrlässiges Löschverhalten: Gebrauchte Festplatten als Fundgrube für sensible Daten

Bei Onlineauktionen und auf Kleinanzeigenportale können Hacker offenbar reiche Beute machen. Eine aktuelle Untersuchung zeigt: Auf den meisten gebraucht erhältlichen Datenträgern befinden sich noch sensible Daten. Und die lassen sich mit wenigen Mausklicks auslesen.

Gebrauchte Festplatten enthalten häufig noch sensible Daten vom Vorbesitzer.
(Foto: Eisenhans - Fotolia)

Mit wenigen Klicks an vertrauliche Daten einer großen Supermarktkette gelangen klingt unmöglich? Keinesfalls, hat jetzt das Unternehmen Attingo Datenrettung bewiesen: Auf namhaften Onlineauktionsplattformen und Kleinanzeigenportalen in Österreich und Deutschland kaufte das Datenrettungsunternehmen 100 gebrauchte Datenträger um etwa sechs Euro per Stück für das Ersatzteillager ein. Sie wurden für eine regelmäßig durchgeführte Studie zum Löschverhalten von Unternehmen und Privatpersonen untersucht. Mit schockierendem Ergebnis: Auf über 73 Prozent der Festplatten, SSDs und SD-Cards waren noch - teilweise streng vertrauliche - Daten vorhanden. »Das ist insofern brisant, da in unseren Studien seit 2011 jedes Mal ein deutlicher Rückgang nicht korrekt gelöschter Datenträger festzustellen war, in der Studie 2014 waren sogar nur mehr 28 Prozent der Datenträger betroffen«, sagt Nicolas Ehrschwendner, Geschäftsführer der Attingo Datenrettung GmbH.

Urlaubsfotos und nicht jugendfreie Videoaufnahmen

Es ist nicht ungewöhnlich, dass Privatpersonen ihre ausrangierten Datenträger verkaufen. Dabei achten nur die wenigsten auf eine restlose Löschung der Daten. Die für den Test gekauften Festplatten und Foto-Karten waren zum größten Teil nur gelöscht oder formatiert, in manchen Fällen wurden sogar gar keine Löschversuche unternommen. Nur auf einigen wenigen Datenträgern waren die Daten vor dem Verkauf vollständig vernichtet worden.

»Vielen Menschen fehlt das technische Know-How darüber, was das Löschen von Daten und Verzeichnissen oder gar das Formatieren eines Datenträgers tatsächlich bedeutet: Es ist ein Irrglaube, dass danach die Dateien wirklich weg sind«, erklärt Ehrschwendner. Beim Löschen werde lediglich eine Markierung gesetzt, dass die betroffene Datei nicht mehr verfügbar sei. Der Inhalt sei jedoch meist noch vollständig vorhanden. Ähnlich wirkungslos sei auch das Formatieren. Auf den gebrauchten Datenträgern aus privater Hand fand das Datenrettungsunternehmen neben Finanzdateien sowie Zugangsdaten für Internet-Banking und Online-Shops auch Urlaubsfotos und sogar erotische, nicht jugendfreie Videoaufnahmen aus dem Schlafzimmer.

Schwere Datenschutzvergehen in Unternehmen

Was bei Privatpersonen lediglich ein selbstschädigendes Verhalten ist, kann bei Unternehmen jedoch schnell zum groben Verstoß gegen geltende Datenschutzgesetze sein. Das scheinen einige Firmen jedoch in Kauf zu nehmen, denn im Test wurden sogar hochsensible Daten von Großkonzernen auf deren gebrauchten Datenträgern gefunden. »In einem Fall wurden die Datenträger sogar vom Chief IT Security Officer eines Unternehmens selbst privat verkauft«, erinnert sich Ehrschwendner

Besonders beachtlich war die »Ausbeute« von mehreren Datenträgern aus dem Server-Verbund einer großen Supermarktkette: Neben Zugangsdaten für den Zugriff auf das interne Netzwerk im Klartext, Preislisten und internen Verhandlungsprotokollen von Zulieferern wurden auch die Gehaltslisten der Mitarbeiter gefunden.

Vollständige Kundendatei von Kabel-TV-Betreiber

Auf den Datenträgern eines österreichischen Unternehmens aus der Lagerlogistik-Branche entdeckten die Experten einen vollständigen Mail-Server mit E-Mails von tausenden Mitarbeitern. Die Datenträger eines in Deutschland und Österreich tätigen holzverarbeitenden Konzerns landeten über einen Onlineflohmarkt ebenfalls bei Attingo Datenrettung: Internationale Ausschreibungsunterlagen, Angebote und vertrauliche Korrespondenzen konnten rekonstruiert werden. Noch größer war die Ausbeute des Datenrettungsunternehmens auf nicht korrekt gelöschten Festplatten eines großen niederländischen Kabel-TV-Betreibers: Alle Kundendaten waren noch auf einem Datenträger vorhanden.

Datenschutz-Sensibilisierung drängt auch wegen DSGVO

»Ein grob fahrlässiger Umgang mit Daten auf gebrauchten Speichermedien scheint bei vielen Unternehmen immer noch an der Tagesordnung zu stehen, und das trotz der neuen EU-Datenschutz-Grundverordnung (DSGVO)«, befürchtet Ehrschwendner. Datenschutz beinhalte auch die korrekte Vernichtung der Daten von ausgedienter Hardware. Attingo Datenrettung bietet auch die Verifikation von gelöschten Datenträgern an. Ein solcher Service empfehle sich insbesondere für Firmen, die sichergehen wollen, dass ihre internen Datenlöschungsstrategien auch wirklich ausreichend seien.