Datensicherheit: Milliarden Dateien ohne Kenntnis der Nutzer im Netz

Michael Schäfer 73 Kommentare
Datensicherheit: Milliarden Dateien ohne Kenntnis der Nutzer im Netz
Bild: ProSmile | CC0 1.0

Cloud-Speicher, mit dem Internet verbundene Laufwerke sowie falsch konfigurierte Webseiten sind oft nicht sicher. Sicherheitsforscher wollen alleine in den letzten drei Monaten über 1,5 Milliarden Dateien über diese Wege im Netz gefunden haben, die eigentlich nicht öffentlich sein sollten. Darunter auch viele vertrauliche.

12.000 Terabyte an Daten frei zugänglich

Dies geht aus einer Erhebung des Sicherheitsunternehmens Digital Shadows hervor. Die Experten sicherten dabei über einen Zeitraum von nur 3 Monaten über 12 Petabyte an frei zugänglichen Daten, die von ihren Inhabern aber nicht willentlich ins Netz gestellt worden waren. Der Umfang ist damit 4.000 Mal größer ist als der der vor einiger Zeit für Aufsehen sorgenden „Panama Papers‟. Unter den Daten befanden sich auch viele sehr vertrauliche, nicht für andere Augen bestimmte Dokumente wie Gehalts- und Kreditkartenabrechnungen, medizinische Daten sowie Patente.

Viele Rückschlüsse auf reale Personen

Von den gefundenen Daten ermöglichten alleine 700.000 Gehaltsabrechnungen sowie 64.000 Steuerbescheide einen direkten Rückschluss auf deren Besitzer und deren Lebensumstände. Ebenso fanden sich unter den gefundenen Dateien über 14.000 Kontakt- sowie 4.500 Patientenlisten. Am meisten überraschte die Sicherheitsforscher jedoch der Fund von mehr als 2 Millionen medizinischer Bilddaten im offenen DICOM-Format, welche sich auf einem ungesicherten SMB-Speicher in Italien fanden. In einem anderen Fall erhielten die Experten Zugang zu einem Kassensystem samt Informationen zu Transaktionen sowie Kreditkartennummern.

Zentraler Netzwerkspeicher besonders betroffen

Die Daten fanden sich den Experten zufolge unter anderem auf nicht ausreichend gesicherten Cloud-Speichern von Amazon S3, ungesichert Webseiten sowie über SMB-, FTP-Server oder rsync auf NAS-Systeme. Die NAS-Systeme führen die Liste mit über 926 Millionen gefundenen Daten deutlich an.

Europa vor den USA

Auch die Verteilung der gefundenen Daten offenbart ein deutliches Bild: So wurden mit 37 Prozent der größte Teil der Daten in EU-Mitgliedsstaaten gefunden: über 537 Millionen Dateien. Zählt man Großbritannien noch dazu, wächst der Anteil auf über 40 Prozent beziehungsweise 602 Millionen Dateien. Dieser Umstand könnte für manches Unternehmen in Hinblick auf die ab Ende Mai für alle verbindlich werdende neue europäische Datenschutzverordnung noch ein großes Problem darstellen. Mit dieser werden die vorgegebenen Regularien deutlich verschärft, bei Nichteinhaltung werden empfindliche Strafen fällig.

Erst deutlich hinter dem europäischen Raum findet sich mit 16 Prozent die USA, welche für knapp 240 Millionen der gefundenen Dateien verantwortlich ist. Das Schlusslicht bildet der Mittlere Osten mit 29 Millionen Dateien, was gerade einmal 2 Prozent entspricht.

Deutschland trauriges Vorbild

Innerhalb Europa belegt Deutschland den unrühmlichen ersten Platz, hier fanden die Forscher alleine über 122 Millionen Dateien. Dicht dahinter folgt Frankreich mit 115 Millionen gefundenen Informationen, wobei bei Schlusslicht Polen immerhin noch fast 36 Millionen Dateien gefunden wurden.

Spionage einfach gemacht

Der Bericht verdeutlicht auch, dass in vielen Fällen Wirtschaftsspionage selten so einfach war wie heute – denn nicht wenige der gefundenen und frei zugängigen Dokumente waren als geheim oder vertraulich eingestuft. So fanden sich über 90.000 Dateien mit Quellcode, 900 Patentanmeldungen, 69 Urheberrechtsanträge sowie zahlreiche Bilder und erklärende Dokumente in den Dateien. Aus Rücksicht vor dem geistigen Eigentum und damit diese Daten nicht in falsche Hände geraten, schweigt sich das Sicherheitsunternehmen über genauere Informationen aus. Einen kleinen Einblick über die Brisanz lieferten die Experten dennoch: So soll sich unter den gefundenen Unternehmensdaten auch ein als „streng vertraulich‟ eingestuftes Dokument eines sich noch nicht auf dem Markt befindlichen Produktes samt patentierter Technik und Bildern aus dem Bereich erneuerbare Energien befunden haben.

Unternehmen müssen mehr in Sicherheit investieren

Digital Shadows mahnt in ihrem Bericht vor allem Unternehmen an, nicht nur auf gezielte Angriffe von Außen zu achten, welche das heimliche Stehlen von Daten zum Ziel haben, sondern auch die Sicherheit der eigenen Daten nicht aus dem Blick zu verlieren. Dabei gilt es zudem gleichzeitig die richtige Konfiguration öffentlicher Dienste stärker im Auge zu behalten. Für Rick Holland, Chief Information Security Officer bei Digital Shadows, sind die gewonnen Erkenntnisse ein Grund zu großer Besorgnis für jedes Unternehmen, welches sensible Daten generiert.