Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Virenscan-Dienste: Vertrauliche Nutzer-Dokumente öffentlich abrufbar

Seite 2: Sensible Daten en masse

Inhaltsverzeichnis

Sehr persönliche Daten

Die von uns entdeckten Bewerbungsdateien enthielten alles, was eine gute Bewerbung ausmacht: Neben Namen und Anschriften sahen wir Telefonnummern, Mail-Adressen und detaillierte Informationen über den beruflichen Werdegang zahlreicher Personen. Stichproben zufolge handelt es sich um echte Daten. Ein solches Datenleck kann für den Betroffenen unangenehme Folgen haben, etwa wenn der aktuelle Arbeitgeber auf diese Weise herausfindet, dass sich der Mitarbeiter jüngst bei der Konkurrenz beworben hat.

Doch das war nur die Spitze des Eisbergs. Neben etlichen Bewerbungen und Arbeitsverträgen entdeckten wir auch ein Schreiben, das eine Justizvollzugsanstalt an eine Bewerberin adressiert hatte. Die Empfängerin hat die vorläufige Zusage für die Stelle als Psychologin bekommen. Auch hier sind wieder persönliche Daten enthalten, einschließlich der Privatadresse der Empfängerin. In dem Fall ist wohl davon auszugehen, dass die Bewerberin die Datei und damit ihre persönlichen Daten selbst hochgeladen hat. Ihre eigene und die Sicherheit der JVA könnte sie damit aber trotzdem ernsthaft gefährden, auch Jahre nach dem Upload.

Medizinische Gutachten und vieles mehr: Bei Virenscan-Diensten werden oftmals Dokumente hochgeladen, die nicht für die Öffentlichkeit bestimmt sind.

Ein Nutzer hatte offenbar einen Observationsbericht einer Polizei hochgeladen, der die Suche nach einer Person beschreibt, die ihrer Meldepflicht nicht nachgekommen ist. Eine andere Datei dient anscheinend einer sogenannten Zuverlässigkeitsüberprüfung bei einem LKA: Sie enthält Namen und Geburtsdaten dreier Personen sowie deren Geburtsorte. Bei diesem behördlichen Vorgang prüft das LKA mehrere polizeiliche Datenbanken, die etwa Daten zur Gefahrenabwehr enthalten.

Arztberichte und vieles mehr

Wir stießen auch auf hochsensible Informationen aus dem medizinischen Bereich: so etwa den Arztbericht einer jungen Frau, die nach einer versuchten Vergewaltigung bei einem Arzt vorstellig geworden ist. Er enthält unter anderem die persönlichen Daten der Betroffenen, Informationen über Gesundheitszustand und Tathergang und sogar Röntgenaufnahmen. Neben weiteren Unfallberichten stießen wir auch noch auf ein neurologisch-psychiatriches Gutachten und vieles mehr. Solche Dokumente haben im Internet nichts verloren.

In einem weiteren Dokument beantragt ein sauerländischer Unternehmer bei einem Gesundheitsamt in NRW, ein Corona-Testzentrum eröffnen zu dürfen. Er verspricht, täglich die Anzahl der durchgeführten Tests sowie der Positivfälle zu melden. In der gleichen Stadt sollte zum 1. Januar eine Patisserie die Besitzerin wechseln, wie aus hochgeladenen Vertragsunterlagen hervorgeht. Da die neue Inhaberin inzwischen auf der Website des Geschäfts bekannt gegeben wurde, besteht kein Zweifel an der Echtheit des Dokuments.

Auch allerlei Skurrilitäten befinden sich unter den Dokumenten: etwa die Einladung eines pfälzischen CDU-Ortsverbands, der seine Mitglieder zum traditionellen Wildessen lädt. Wer auf Daten aus ist, kann hier immerhin die Kontaktdaten des Vorsitzenden mitnehmen, samt Handynummer und privater Mailadresse.

heise Investigativ

Viele c’t-Investigativ-Recherchen sind nur möglich dank anonymer Informationen von Hinweisgebern.

Wenn Sie Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns Hinweise und Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten.

https://heise.de/investigativ

Leichtsinn schlägt Datenschutz

Die Auflistung der Dokumente mit sensiblen Daten ließe sich beliebig lange fortführen. Doch das ist an dieser Stelle gar nicht nötig, das Ausmaß des Problems dürfte mit den obigen Fällen hinreichend dokumentiert sein. Wer die Dokumente leichtsinnigerweise bei dem Dienst hochgeladen hat, lässt sich aus den Analyseberichten nicht ableiten. Eine naheliegende Theorie wäre, dass es sich häufig um die Adressaten der Dokumente handelt, die vor dem Öffnen der Dateien auf Nummer sicher gehen wollten.

Als wir den Betreiber CrowdStrike mit unseren Funden konfrontierten, zeigte sich dieser nicht überrascht. Das Unternehmen erklärte, was wir schon der Website entnommen hatten: "Einsendungen an Hybrid Analysis werden mit der Community geteilt und sind nicht privat." Die Analyseergebnisse seien zudem jederzeit für alle Nutzer verfügbar. Auf unsere Rückfrage erklärte das Unternehmen, dass die Hybrid-Analysis-Infrastruktur in Kalifornien verortet ist. Wer sensible Dokumente bei dem Dienst hochlädt, schickt sie also um die halbe Welt. Dieser Export der Daten in die USA ist noch mal ein Problem für sich.

Wer versehentlich problematische Daten bei der öffentlichen Plattform hochgeladen hat oder bedenkliche Dokumente anderer Nutzer entdeckt, kann selbst aktiv werden: "Jeder HA-Benutzer kann die Löschung von Samples und den zugehörigen Berichten aus der HA-Datenbank beantragen, wenn zum Beispiel personenbezogene Daten übermittelt worden sind", rät CrowdStrike. Den Prozess startet man über den Knopf "Request Report Deletion", der sich oben rechts auf dem Analysebericht befindet.

Der Betreiber beschreibt Hybrid Analysis als "kostenlose Community-Ressource, die CrowdStrike zum Nutzen der Sicherheitsgemeinschaft und der Endnutzer betreibt." Wer verhindern möchte, dass Dateien und Analyseergebnisse geteilt werden, könne zu einem kostenpflichtigen Angebot des Unternehmens greifen: "Für die Analyse vertraulicher Daten in einer privaten Umgebung bietet CrowdStrike im Rahmen des Falcon-X-Angebots verschiedene Lösungen an." Für Falcon X betreibt CrowdStrike auch eine europäische Cloud.

Wir haben dem Betreiber unsere Liste mit problematischen Dokumenten zur Verfügung gestellt, woraufhin er die Dateien von der Plattform entfernte. Das ist allerdings ein Tropfen auf den heißen Stein, da wir nur einen Bruchteil der hochgeladenen Dateien überprüft haben. Zukünftig will CrowdStrike seinen Dienst umbauen, damit sich solche Fälle nicht weiter Tag für Tag wiederholen: "Wir arbeiten an Vereinfachungen, die die Website vor allem für Gelegenheitsnutzer leichter verständlich machen."

c’t – Europas größtes IT- und Tech-Magazin

Alle 14 Tage präsentiert Ihnen Deutschlands größte IT-Redaktion aktuelle Tipps, kritische Berichte, aufwendige Tests und tiefgehende Reportagen zu IT-Sicherheit & Datenschutz, Hardware, Software- und App-Entwicklungen, Smart Home und vielem mehr. Unabhängiger Journalismus ist bei c't das A und O.

Datenschutz-Desaster

Wer ist nun schuld an dem Datenschutz-Desaster? Der Betreiber gibt auf seiner Seite an, dass die hochgeladenen Dateien mit der Community geteilt werden und die Analyseberichte öffentlich sind – allerdings etwas versteckt und nur in englischer Sprache. Sicherlich wird es den Nutzern zu leicht gemacht, diese Hinweise zu übersehen und zu ignorieren. Auch die komfortable Suchfunktion, die sämtliche Analyseberichte aller Nutzer durchforstet, macht das Auffinden brisanter Daten leichter als nötig.

Einen großen Teil zu der aktuellen Situation tragen jedoch auch jene Nutzer bei, die sich weder die Hinweise auf der Uploadseite noch die Datenschutzbestimmungen aufmerksam durchlesen, bevor sie sensible Inhalte mit dem fremden Server teilen. Es gilt, das Bewusstsein für den Datenschutz zu schärfen. Es ist so gut wie niemals eine gute Idee, Dateien, deren Inhalt nicht für die Öffentlichkeit bestimmt ist, auf einen fremden Server zu laden – ganz gleich, zu welchem Zweck. Ausnahmen gibt es nur wenige. In den von uns entdeckten Fällen diente die Nutzung der Gratis-Analyse zwar der Sicherheit, der Datenschutz wurde jedoch sträflich vernachlässigt. Wer dabei erwischt wird, muss seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) mit einer hohen Geldbuße rechnen.

Wenn man sie mit Bedacht einsetzt, sind Malware-Analyseplattformen wie Hybrid Analysis oder VirusTotal ein guter Weg, einer verdächtigen Datei mit überschaubarem Aufwand auf die Finger zu schauen. Hochladen sollte man dort jedoch nur Dateien, die keine sensiblen Daten enthalten – insbesondere dann nicht, wenn diese Daten anderen gehören. Unkritisch hingegen sind meist ausführbare Programme, da diese oft ohnehin öffentlich abrufbar sind. Davon ausgenommen sind allerdings Anwendungen, die nur einem ausgewählten Personenkreis zugänglich sein sollen, etwa Programme, die sich noch in der Entwicklung befinden und nur innerhalb des Unternehmens weitergegeben werden dürfen.

Wer auf Nummer sicher gehen möchte, kann mit Cuckoo Sandbox ein ähnliches Analysesystem auf der eigenen Hardware betreiben. Möglicherweise sind auch kostenpflichtige Sandbox-Dienste wie Falcon X für den ein oder anderen interessant, weil hier die Weitergabe beziehungsweise Nichtweitergabe der Daten meist klar geregelt ist. Ein Virenscan mit mehreren Virenjägern ist ebenso mit Desinfec’t möglich, das als Live-Linux auch in einer virtuellen Maschine laufen kann. Viele Virenattacken kann man zudem per Telefon abwehren: indem man zum Hörer greift und den Mailabsender fragt, ob die Mail samt Anhang tatsächlich von ihm stammt. Wer angehängte Word-Dokumente ablehnt, weil da gefährlicher Makrocode drinstecken kann, fragt den Absender einfach nach einer weniger gefährlichen PDF-Datei. (rei)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten