Erneuter Daten-Gau bei AWD

Vor knapp einem Monat hat NDR Info rund 27.000 Datensätze des Finanzdienstleisters AWD zugespielt bekommen. Nun gibt es einen neuen Datenskandal bei AWD, den wiederum NDR Info aufgedeckt hat. Im Rahmen einer Software-Entwicklung haben externe IT-Berater mit echten Kundendatenbanken gearbeitet. Diese konnten auch von den externen Dienstleistern kopiert und manipuliert werden.

Der NDR Info hat wohl eine Datenbank erhalten und einzelne Samples daraus auf Echtheit überprüft.

Der Leiter des Unabhängigen Datenschutzzentrums Schleswig-Holstein, Thilo Weichert, kommentierte den erneuten Fall bei AWD gegenüber NDR Info. Er sprach von einem „Daten-Gau“ und erklärte, dass externe Entwickler nicht mit Kundendaten arbeiten dürften, dafür würden Testdaten ausreichen. „Alles andere ist fahrlässig, schludrig und ignorant im Hinblick auf das Datenschutzrecht“.

Update: Hier ist die Originalmeldung von NDR Info: Offenbar weitere große Sicherheitslücken bei AWD.

Die AWD-Konzernzentrale in Hannover – eine Glasfestung, in der sensible Daten von über vier Millionen Kunden gespeichert sind. 27.000 von ihnen ahnen seit dem Bericht von NDR Info vor vier Wochen, dass ihre persönlichen Angaben alles andere als sicher sind. Trotzdem betonte AWD-Sprecher Béla Anda nach dem Bekanntwerden der Panne: „Wir haben den höchstmöglichen Sicherheitsstandard. Wir sind im entsprechenden Verband des Gesamtverbandes für Datenschutz.“ AWD-Insider sind da anderer Meinung. Der Sicherheitsstandard für personenbezogene Kundendaten liege weit unter dem einer Bank oder Sparkasse, sagen sie. So arbeiteten externe IT-Berater bei der Softwareentwicklung mit echten Kundendaten. Aussage eines Insiders, der namentlich nicht genannt werden möchte: „Bei der Entwicklung wird mit echten Kundendatensätzen gearbeitet. Dabei wäre es völlig ausreichend, mit Testpersonen zu arbeiten. Der Zugang zur eigentlichen Kundendatenbank dürfte aus Sicherheitsgründen auf keinen Fall möglich sein.“

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

18 Ergänzungen

  1. Ach da sinds wenigstens nur Daten vom AWD … ich schlacker manchmal mit den Ohren wenn der Kunde sagt das ich mal ne externe Festplatte für die „Testdaten“ mitbringen soll.

    Ich glaub ich habe schon ewig keine echten Testdaten mehr gesehen – abgesehen von den 10-15 Datensätzen die man bei der Entwicklung selbst einpflegt …

  2. Irgendwie kratzt mich das schon nicht mehr. Kann es sein, dass man sich als Kunde nirgendwo mit seinen Daten nicht mehr sicher sein kann?

    In Zukunft sollte man sich genaustes Infomieren und schlau machen ob man dort Kunde werden möchte ?

  3. Sorry, aber das ist nichts anderes als Sensationsmache. Externe müssen üblicherweise die gleichen Vereinbahrungen gemäß Datenschutzgesetzt unterschreiben wie die Angestellten. Sind die Externen bei einem Dienstleister angestellt, so muss der auch noch mal bestätigen das die eingesetzten Mitarbeiter bzgl. Datenschutzgesetz handeln und z.B. ihnen bekannt gewordene Daten auch für sich behalten.

  4. … und wieder mal fühlt sich von den ganzen Datenschutz-Beauftragten des Landes der Thilo Weichert vom Datenschutzzentrum Schleswig-Holstein öffentlich für einen Kommentar zuständig. Die anderen Datenschutzbeauftragten haben offenbar keine Zeit, wahrscheinlich sind sie mit der Masse an Fällen überlastet. Wenn man sich mal die geringe Zahl der Mitarbeiter bei den Stellen anschaut, verwundert das auch nicht weiter. SH scheint da irgendwie besser ausgestattet zu sein. Naja, ich begrüße jedenfalls, dass es jemanden gibt, der sich nicht erst fragt, ob er überhaupt zuständig ist.

    Wo ist eigentlich die Stellungnahme vom Landesdatenschutzbeauftragten von Niedersachsen? AWD hat schließlich seinen Hauptsitz in Hannover und der Herr Wahlbrink ist doch eigentlich auch kein zahnloser Tiger.

  5. da bin ich der gleichen meinung wie suntzu. entweder fehlen einige wichtige details bei diesem artikel oder es ist wirklich nur „viel wind um nichts“. wie soll den zb outsourcing funktionieren, wenn der externe mitarbeiter nicht auf die kundendaten zugreifen darf?

    bitte mal genauer erläutern wo genau da jetzt das problem ist.

  6. 100 % Zustimmung zu suntzu.

    Was an dieser Stelle schiefgelaufen ist: Der externe Dienstleister bzw. seine Mitarbeiter hat die (hoffentlich vorhandene) Vereinbarung bezgl. Datensicherheit/Datenschutz missachtet. Ob nun absichtlich oder durch Fahrlässigkeit sei mal dahingestellt. Der Schaden für den Dienstleister und die verantwortlichen Mitarbeiter wird entsprechend empfindlich ausfallen, sofern AWD der Sache nachgeht(Strafzahlung, Vertragsauflösung…).

  7. @suntzu:
    1. AWD ist ein Finanzdienstleister, die Daten fallen wahrscheinlich unter das Bankgeheimnis.
    2. Echte Kundendaten werden doch nur genommen, weil die Generierung von Test-Daten zusätzliche Kosten verursachen würde. Notwendig sind sie nicht, Test-Daten gehen genau so.
    3. Es geht hier nicht um externe Mitarbeiter, die eine Finanz-Dienstleistung oder eine dazugehörige Beratung/Werbung machen, sondern um Software-Entwicklung. Echte Kundendaten sind da nicht nötig und deshalb laut Datenschutz-Richtlinien verboten.

    Der Dienstleister / SW-Entwickler kann da Vereinbarung bezüglich Datenschutz für seine Mitarbeiter haben, soviel er will. Er darf keine echten Kundendaten zu Test-Zwecken verarbeiten, wenn das nicht nötig ist.

  8. Also zuerst mal unterschreibt jeder externe Dienstleister in der Regel eine Geheimhaltungsvereinbarung. Diese ist eine Nummer härter als eine Datenschutzvereinbarung. Wenn nun solche Daten in der Öffentlcihkeit auftauchen, ist das strafrechtlich relevant. Und in der Regel kann der Auftraggeber auch feststellen, welcher Dienstleister das Datenleck verursacht hat (Dummydatensätze o.ä.).

    Zweitens ist es so gut wie unmöglich, Zusatzprogramme oder Erweiterungen sauber zu programmieren und zu testen(!), ohne auf lebende Daten zurückzugreifen. Denn nur dort sind auch die lebenden Fehler drin. Es geht ja nicht um die einfachen Kundendaten wie Name, Adresse usw. sondern um die ganze Datenbankstruktur mit u.U. hunderten von untereinander abhängigen Tabellen.

  9. @Mithos:
    1. Das Bankgeheimnis soll die Verpflichtung zur Herausgabe der Daten von der Bank an Dritte verhindern. Der externe Dienstleister tritt aus Sicht der Bank aber nicht als „Dritter“ auf, sondern gehört zur bankinternen Struktur.

    2. Stimmt. Allerdings wird der Aufwand zur Erstellung von guten Testdaten stark unterschätzt. Zu schlecht ist oft die Datenqualität der tatsächlichen Datensätze. Einzige Möglichkeit für gute Testdaten ist meist eine Anonymisierung der Echtdaten.

    3. siehe 2. Ob Kundendaten nötig sind oder nicht, ist eher fraglich.

    Problematisch ist, dass die Kundendaten die Systeme von AWD verlassen konnten. Mit (kopierten) Life-Daten auf internen AWD-Systemen durch externe Dienstleister zu testen mag i.O. sein. Diese Daten „mitzunehmen“ keinesfalls.

  10. Haha. Weit unter dem Standard einer Bank.
    Von wegen. Die glauben wohl dass in Banken Testdaten genommen werden.
    Bei Millionen Datensätzen ist die Erstellung von realitätsnahen Testdaten ein heiden Aufwand.
    Bring mal >10 Systeme in einklang, wenn du die Kontonummern Anonymisierst und die Namen ersetzt.
    Da lässt mans meistens bleiben.

    Ich weiß wo von ich da spreche.
    Braucht noch einer Kundenergebnisse einer großen deutschen Bank? Ich hab da grade wlche auf dem Schirm ;-) Ich bin aber auch Interner. sowas würde ein Externer nieeee sehen ;-)

  11. Produktionsdaten für Testzwecke zu nutzen, ist unprofessionell und hat \seriöser\ Software-Entwicklung wenig zu tun.

    Und wenn ein Unternehmen eine professionelle Testfallermittlung durchführt, dann braucht’s auch nicht Tausende oder Millionen Datensätze für Testzwecke.

  12. @ 5/suntzu:
    Ich widerspreche dir.

    Eine externe Firma ist für mich eine Drittfirma, egal was die bei AWD unterschreibt, bzw. unterschrieben hat.

    Und Kundendaten als Testdaten zu missbrauchen ist nicht ok. Es gibt Testdaten, bzw. können selbige erzeugt werden.

    Ansonsten kann eine Firma ja mit beliebig vielen „Drittfirmen“ Verträge abschließen, aber wenn die „Drittfirmen“ diese dann brechen, was dann? Wenn die einfach die Daten weiter verkaufen, obwohl die was anderes unterschrieben haben. Glaubst du z.B. AWD würde sich drum kümmern die Kunden zu informieren und zu entschädigen, wenn sie überhaupt herausfinden wer es dann war?

    Und zur Sicherheit bei Banken muss man wohl nichts sagen…

  13. Der Bericht ist schlichtweg Sensationsjournalismus. Als externe Softwareentwickler hab ich es bisher nur in einer Firma erlebt, das Daten anonymisiert zu Testzwecken zur Verfügung gestellt wurden. In bestimmten Fällen, müssen aber auch Tests an Realdaten durchgeführt werden. Hierbei wird meist immer ein Ausschnitt des Gesamtdatenbestands genommen. Weiterhin waren in allen Rechnern sowohl USB Schnittstellen als auch CD Rom Laufwerke frei zugänglich, es gab ebenfalls keine Einschränkungen bzgl. Nutzung eines Notebooks.

    Durch Geheimhaltungsklauseln bin ich verpflichtet, Stillschweigen über Geschäftsprozesse und Kundendaten zu bewahren. Es gelten hier die gleichen Regeln wie für interne Mitarbeiter.

    Von einem anderen Kollegen hab ich erfahren, das mit sehr sensitiven Bankdaten einer grossen deutschen Bank genauso verfahren wurde. Diese Daten waren sogar durch externe Berater manipulierbar.

  14. Hach, das sieht ja mächtig böse aus, überall werden die Kundendaten mit offenen Händen auf die externen Festplatten der ebenfalls externen SW-Häuser geschaufelt oder sogar der direkte Zugriff auf Live-Daten von außen erlaubt.

    Das erinnert mich an ne Geschichte von meinem Prof, der mal IT-Sicherheit für ne Bank geprüft hat. Lustiger weise auch als Externer. Die Prüfung ergab, dass sich ein bank-eigener Entwickler jahrelang drei Gehälter überwiesen hat. Er musste dazu nur die von ihm geschriebene Software etwas erweitern…

    Entweder die externen hier sind alle zu ehrlich und machen sowas nicht, oder den Banken wird jährlich von zig Mitarbeitern die Knete aus der Tasche gebucht. Oder die Bank hat nen vernünftiges Test-Management. Sowas soll es ja auch geben. Certified Tester und so… Wenn man dann abschließend wirklich mit echten Daten testen muss, dann doch bitte als (Abnahme)-Test beim Kunden, also beim Besitzer der Daten in dessen Haus, ohne dass Daten die Firmen wechseln.

    Nix für ungut, aber es gibt anscheinend da draussen viel zu viele Code-Pfuscher.

  15. Offenbar sitzen oder saßen bei AWD einige frustrierte Mitarbeiter, die endlich einen Kontakt zu skandalintersssierten NRD-Leuten gefunden haben. Nun wird alles, was so in Software-Enwicklungs-Firmen vorkommt, darauf hin abgeklopft, was alles passieren könnte, wenn nur einer wollte … Es ist aber offenbar nichts passiert. Keiner schafft die Autos ab, weil es jährlich 5000 Tote damit gibt und wir alle Terroristen sein könnten , keiner schaltet den Strom ab, weil man ihn in die Badewanne leiten könnte – also was soll der Wind?

    Und – um die vorherigen Beiträge zu ergänzen – die Firmen sind gegen Schäden durch externe Mitarbeiter auch besser versichert als gegen die U-Boote im Inneren einer Firma.

    Der Datenskandalbeauftragte SH täte gut daran, erst die Fakten und Ergebnisse zu prüfen, statt erst mal auf die Straße zu gehen. Sonst sitzt er bald in einer Ecke, in der keiner mehr mit ihm über die echten Probleme spricht, die es in der Branche zweifelsohne gibt, wie man an der Diskussion hier sieht.
    Und ein allgemeines Beraterbashing funktioniert genau nicht, weil es die am besten vernetzte Berufsgemeinschaft im Lande ist, die aus vielerlei Gründen einen kräftigen Gegenwind organisieren würde. Die Piratenpartei hat ja gerade gezeigt, was da ohne große Organisation geht …

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.