Es ist allgemein bekannt, dass Unternehmen eine Vielzahl von Datenschutzanforderungen zu erfüllen haben und dass sie ihre Verantwortung für die Verwaltung von Kunden- und Unternehmensdaten ernst nehmen müssen. Wenn es um ITAD (IT Asset Disposition) geht, müssen letztendlich alle Daten vollständig von den Systemen, auf denen sie gespeichert sind, entfernt und die Hardware zerstört werden. Aber was passiert, wenn dies nicht ordnungsgemäß oder effektiv durchgeführt wird? Wir haben einige Beispiele aus dem wirklichen Leben, die wir mit Ihnen teilen möchten... und die Technikbranche sollte diese als Warnung betrachten!
Morgan Stanley muss 35 Millionen Dollar Strafe für den falschen Umgang mit der Stilllegung von Rechenzentren zahlen
Im Jahr 2016 nahm Morgan Stanley zwei seiner Rechenzentren außer Betrieb - ein ganz normaler Vorgang für ein so großes Unternehmen mit so vielen IT-Ressourcen. Mit der Abwicklung des Projekts wurde ein Drittunternehmen beauftragt, das beide Rechenzentren mit Tausenden von Geräten abschaltete. Das Unternehmen versäumte es, das Projekt ordnungsgemäß zu verwalten und die Sicherheit der Daten auf den Geräten (viele davon unverschlüsselt) zu gewährleisten.
Die Geräte wurden aus dem Rechenzentrum entfernt, aber die Daten wurden nie gelöscht. Durch den anschließenden Online-Verkauf wurden Tausende von Festplattenlaufwerken, die noch immer Kundendaten enthielten, öffentlich zugänglich gemacht, wobei die persönlichen Daten von schätzungsweise 15 Millionen Kunden preisgegeben wurden!
Als der Fehler aufgedeckt wurde, war der Ruf von Morgan Stanley natürlich schwer beschädigt, weil es dem Unternehmen an angemessener Kontrolle und Datensicherheit mangelte. Sowohl die Kunden des Unternehmens als auch andere Finanzinstitute befürchteten, dass ihre Daten veröffentlicht würden, was sich auf das Vertrauen der gesamten Branche auswirkte.
Die Securities and Exchange Commission (SEC) entschied im Jahr 2022, dass Morgan Stanley die Kundendaten, für die es verantwortlich war, in erheblichem Maße falsch gehandhabt hat - auch wenn dies von einem Drittunternehmen durchgeführt wurde. Die SEC hob Morgan Stanleys internes "umfassendes Versagen" hervor und stellte Richtlinien für Finanzinstitute auf, wie sie ihre EOL-Hardware (End of Life) am besten in den Ruhestand versetzen können. Sie verhängte gegen Morgan Stanley eine Geldstrafe in Höhe von 35 Millionen Dollar, obwohl die Auswirkungen bei weitem die rein finanziellen Kosten überstiegen.
Gesundheitszentrum gab persönliche medizinische Daten von über 100.000 Patienten preis
Im Jahr 2021 entdeckten die HealthReach Community Health Centers in Maine, USA, eine Verletzung der Gesundheitsdaten von Patienten aufgrund einer unsachgemäßen Entsorgung von Festplatten.
Auch sie übergaben ihre ausgemusterte IT-Hardware an eine externe Datenspeichereinrichtung, die ein Stilllegungsprojekt für sie durchführen sollte. Es stellte sich jedoch heraus, dass ein Mitarbeiter der Einrichtung die auf den Laufwerken gespeicherten Daten nicht für die Auslagerung aufbereitet hatte, so dass sie durchgesickert waren.
Angesichts der Art des Geschäfts waren die Daten auf den Festplatten äußerst sensibel. Das Leck umfasste schätzungsweise die Gesundheitsdaten von bis zu 117.000 Patienten, darunter Namen, Adressen, Geburtsdaten, Sozialversicherungsnummern sowie geschützte persönliche Gesundheitsinformationen (PHI).
Noch schlimmer ist vielleicht, dass das Leck nicht einmal von HealthReach selbst entdeckt wurde. Ein unabhängiger Sicherheitsberater kaufte eine Reihe von Computern und Geräten von Unternehmen, die Hardware als generalüberholt weiterverkaufen. Die Unternehmen, die dies tun, hatten sie von anderen ITAD-Firmen gekauft, die alle behaupteten, die Daten vor dem Wiederverkauf ordnungsgemäß zu vernichten.
Mit nur wenigen Datenabfragetools wurde festgestellt, dass nur drei der gekauften Geräte verschlüsselt waren. Neben den Gesundheitsdaten wurden auch Informationen wie persönliche Kennungen, Kreditkartennummern und Führerscheindaten gefunden.
HealthReach arbeitet weiterhin mit Beratern für Cybersicherheit zusammen, um herauszufinden, wie man auf die Datenschutzverletzung reagieren und sie bewältigen kann, und die vollen Auswirkungen sind noch nicht abzusehen.
Im Universitätskrankenhaus Brighton und Sussex wurden EOL-Festplatten gestohlen
Die USA sind nicht der einzige Ort, an dem private medizinische Daten geleakt wurden. Im Vereinigten Königreich fiel der NHS auf unbedachte ITAD-Methoden herein, als das Brighton and Sussex University Hospital Festplatten zur Vernichtung in Auftrag gab.
Anstatt die Daten zu entfernen und die Festplatten ordnungsgemäß zu entsorgen, wurde die Hardware von dem für die Verarbeitung zuständigen Unternehmen gestohlen. Der Dieb bot die Festplatten dann bei eBay zum Verkauf an - mit den Patientendaten Tausender von Menschen.
Das Krankenhaus wurde zu einer Geldstrafe von 325.000 Pfund verurteilt, und die anhaltenden Auswirkungen des Lecks sind immer noch nicht sicher. Es wird jedoch vermutet, dass der Vorfall teilweise dafür verantwortlich ist, dass sich die NHS-Chefs für einen hybriden Cloud-Service zur Datenspeicherung entschieden haben, wodurch die Notwendigkeit der Verarbeitung und eventuellen Vernichtung physischer Daten entfällt.
Niederländische Bürgerdaten nach zufälligem Marktkauf offengelegt
In den Niederlanden erwarb ein ungenannter Mann mehrere Festplatten auf einem öffentlichen Flohmarkt. Als er darauf zugriff, fand er personenbezogene Daten niederländischer Bürger aus den Regionen Utrecht, Delft und Houten. Sie umfassten identifizierende Daten wie Bürgerservicenummern, Adressen, Geburtsdaten, Rezepte und medizinische Details. Die Daten stammen aus einem Zeitraum von acht Jahren, von 2011 bis 2019, und es wird vermutet, dass sie aus den Aufzeichnungen der lokalen Behörden stammen müssen.
Die genaue Herkunft dieser Daten und die Art und Weise, wie sie in Umlauf gebracht wurden, sind noch nicht bekannt. Es wird jedoch vermutet, dass die beteiligten Behörden eine Politik des Weiterverkaufs von Hardware verfolgten, wenn Mitarbeiter aus dem Arbeitsverhältnis ausschieden, und dass die Daten zuvor nicht ordnungsgemäß bereinigt worden waren. Der Weiterverkauf solcher Geräte kann zwar einen zusätzlichen Wert schaffen, aber wenn man nicht vorher in eine korrekte und angemessene Datenvernichtung investiert, kann das schlimme Folgen haben.
In welchen Branchen ist das Risiko einer unsachgemäßen Datenvernichtung am größten?
Das genaue Ausmaß des Datenmissbrauchs wird möglicherweise nie vollständig erfasst werden, aber es sollte beachtet werden, dass jedes Unternehmen, das überhaupt Daten besitzt, einem potenziellen Risiko ausgesetzt ist.
Das britische ICO (Information Commissioner's Office) zeichnet die Entwicklung der Datensicherheit im Laufe der Zeit auf. Aus ihren Aufzeichnungen geht hervor, dass derartige Vorfälle bisher vor allem in zwei Branchen aufgetreten sind - im Gesundheitswesen und bei Immobiliendienstleistungen. Ein von einem Technologieunternehmen gestellter Antrag auf Informationsfreiheit zeigte auch, dass es auf Regierungsebene Bedenken hinsichtlich der Datensicherheit gibt; so wurden von der britischen Steuerbehörde HM Revenue and Customs Vorfälle registriert, bei denen datenintensive USB-Sticks verloren gingen. Eine Analyse der Aufzeichnungen des IOC zeigt außerdem häufige Probleme mit:
- Organisationen verfolgen Datenspeicher nicht richtig
- Ein regelrechtes Missmanagement im Verständnis einer ordnungsgemäßen Vermögensverwaltung für kleinere Geräte
- Unternehmen, die sich dafür entscheiden, ihre Daten nicht zu verschlüsseln und stattdessen auf die Multi-Faktor-Authentifizierung zu setzen.
Was sind die Risiken kompromittierter Daten?
Es gibt mehrere Risiken, die mit dem Verlust sicherer Daten verbunden sind, sei es von Hardware, die entsorgt werden sollte, oder auf andere Weise. Dazu gehören:
Risiken von Datenlecks für Einzelpersonen
- Verletzung der Privatsphäre - wenn Daten, die eigentlich privat oder zwischen einer Person und einem bestimmten Dritten aufbewahrt werden sollten, durchsickern, können die Informationen an andere weitergegeben werden, die sie nicht sehen sollten
- Identitätsdiebstahl - wenn PII (Personal Identifying Information) in die falschen Hände geraten, kann die Identität einer Person gefährdet werden
- Finanzieller Betrug - wenn finanzielle Details von jemandem böswillig abgegriffen werden, kann es zu Betrug und Diebstahl kommen.
Risiken von Datenlecks für Unternehmen
- Rufschädigung - wenn Kunden wissen, dass ein Unternehmen ihre Daten oder die Daten anderer Personen kompromittiert hat, verlieren sie das Vertrauen in die Marke.
- Rechtliche Sanktionen - das Unternehmen kann mit rechtlichen Sanktionen konfrontiert werden, wenn festgestellt wird, dass es Daten, für die es verantwortlich war, falsch verwaltet hat.
- Finanzielle Verluste - Unternehmen, die Daten falsch handhaben, können von Aufsichtsbehörden und Gerichten mit Geldstrafen belegt werden, und es sind höhere Investitionen in das laufende Management von Datenvorfällen erforderlich, um sicherzustellen, dass sie sich nicht wiederholen.
Was können Unternehmen tun, um eine unsachgemäße Datenvernichtung zu vermeiden?
Es ist von entscheidender Bedeutung, dass Unternehmen die geeigneten Maßnahmen ergreifen, um sicherzustellen, dass Daten ordnungsgemäß gesichert und anschließend vernichtet werden, wenn die Hardware ihr EOL erreicht. Es gibt Richtlinien von NIST und IEEE, die dies vorschreiben:
- NIST - Daten sollten von einem Gerät durch Löschen, Bereinigen oder Zerstören des Geräts entfernt werden (gilt für Festplatten, Flash-Laufwerke, mobile Geräte)
- IEEE 2883 - ist mit dem ISO 27040:2024-Standard für Speichersicherheit verknüpft, so dass er für die Datenvernichtung bei den neuesten Technologien, einschließlich NVMe-Laufwerken, anwendbar ist.
Daher ist es wichtig, dass die Unternehmen mit einem ITAD-Anbieter zusammenarbeiten, der:
- Garantiert die Einhaltung aller gesetzlichen Vorschriften und bewährten Praktiken, um mögliche Datenschutzverletzungen zu vermeiden
- Bietet eine Vielzahl von Datenvernichtungsdiensten an, um sicherzustellen, dass für jedes Gerät und jeden Datentyp die am besten geeignete Option verwendet wird
- Ausgewogenes Verhältnis zwischen Umwelt- und Sicherheitsrisiken
- Vollständige Verwaltung der Verwahrkette von Vermögenswerten einschließlich Audit und behördlich genehmigter Datenbereinigung
- Bietet eine Bescheinigung über die vollständige, gründliche und garantierte Datenlöschung nach Abschluss der Zerstörung, Aufarbeitung oder des Weiterverkaufs von Hardware.
Wie kann Procurri helfen?
Procurri bietet mit seinen ITAD-Dienstleistungen alle oben genannten Leistungen an, während wir weiterhin ITAD-Dienstleistungen ohne Deponierung anbieten, um sicherzustellen, dass wir als Unternehmen klimaneutral bleiben.
Jedes Objekt wird von der Abholung über die Bearbeitung bis hin zur Wiederverwendung oder Wiedervermarktung verwaltet und nachverfolgt, und unsere Datenvernichtung maximiert die Chancen auf einen Wiederverkauf - und hilft, den höchstmöglichen Restwert zu erzielen,
Möchten Sie sicherstellen, dass Ihre Daten vor Lecks geschützt sind, während Sie sich weiterhin auf Umwelt- und Wiederverkaufsmöglichkeiten konzentrieren? Setzen Sie sich noch heute mit dem Procurri-Team in Verbindung und lassen Sie uns einen maßgeschneiderten ITAD-Ansatz für Sie entwickeln!