Datenschutzvorfall beim EU-Parlament (Mai 2020)

[English]Beim EU-Parlament gab es einen Datenschutzvorfall. Informationen über mehr als eintausend Mitarbeiter und Mitglieder des Europäischen Parlaments waren über einen fehlkonfigurierten Server durch Unbefugte abrufbar. Der Server wurde von der Europäische Volkspartei (EVP) betrieben.


Anzeige

Ungeschütztes Datenbank-Backup

Ich bin gestern über den nachfolgenden Tweet auf diesen Datenschutzvorfall beim EU-Parlament aufmerksam geworden.

Der indische Sicherheitsforscher Yash Kadakia ist auf eine Datenbank des EU-Parlaments gestoßen, bei der eine Konfigurationsdaten auf ein Datenbank-Backup verwies. Dieses Datenbank-Backup war ungeschützt und ermöglichte unbefugten Dritten auf die gespeicherten Daten zuzugreifen. Der nachfolgende Tweet enthält einige Details zu diesem Datenschutzvorfall.

Das massive Datenleck legte Daten und Passwörter von mehr als 200 Mitgliedern des Europäischen Parlaments, des Europäischen Rates und der Europäischen Kommission offen. Auch über 1.000 Mitarbeiter des EU-Parlaments sind betroffen. Die Daten aus dem Backup umfassen auch über 15.000 Einträge zu anderen Benutzern, darunter Journalisten, Mitglieder einer Reihe politischer Parteien und Institutionen. Betroffen sind auch Mitglieder mehrerer Institutionen der Europäischen Union wie Europol, Europäischer Datenschutzbeauftragter, EUIPO, Frontex usw.

Nur alte Daten betroffen

Politico schreibt in diesem Artikel, dass die Europäische Volkspartei (EVP), die größte politische Fraktion im Parlament, das Datenleck bestätigt habe. Der Sprecher der EVP-Fraktion, Pedro López de Pablo, bestätigte Politico in einer E-Mail, dass eine Datenbank mit E-Mail-Adressen und Passwörtern offengelegt wurde.

Der Sprecher gab an, dass die Datenbank veraltet sei und nur Informationen enthalte, "die von den Personen genutzt werden, die unsere alte Website 2018 abonniert haben". Diese Website wird nicht mehr benutzt, nachdem die Gruppe im Januar 2019 eine neue Website eingerichtet hat, sagte López de Pablo gegenüber Politico. Sowohl die "Server der EVP als auch die aktuelle Datenbank sind nicht offengelegt worden", so der EVP-Sprecher weiter.

"Selbst für den Fall, dass die Personen, die 2018 unsere Website abonniert haben, dasselbe Passwort benutzten, das sie damals in ihren E-Mails hatten, kann ihnen jetzt nichts passieren, denn im Parlament zwingt das System Sie dazu, Ihr Passwort alle drei Monate vollständig zu ändern", fügte er hinzu. Laut López de Pablo überprüft die EVP "derzeit die Liste der E-Mails, um alle Betroffenen gemäß den [europäischen Datenschutz-] Vorschriften zu informieren".


Anzeige

EU-Parlament: Wir waren es nicht …

Interessant sind die Threads, die sich um dieses Datenleck entwickeln. Die Sicherheitsforscher von Under the Breach weisen in nachfolgendem Tweet auf eine Pressemitteilung des EU-Parlaments hin.

Das Europäische Parlament gibt an, dass das Datenleck in keinem Zusammenhang mit einem System steht, das von einer EU-Institution betrieben wird und keine Daten von EU-Institutionen enthält. Es wird also abgewiegelt – was juristisch korrekt ist – das System gehörte ja der EVP, wurde aber unter europarl.europa.eu gehostet. Immerhin wurden die für das System Verantwortlichen kontaktiert.

Gemäß obigem Tweet wurde das Portal inzwischen offline genommen, die Daten sind nicht mehr abrufbar. Die Frage von Yash Kadakia in Sachen DSGVO (GDPR) läuft ins Leere – denn die parlarmentarischen Betreiber werden wohl kaum sanktioniert werden.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Datenleck, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Datenschutzvorfall beim EU-Parlament (Mai 2020)

  1. Andreas sagt:

    Natzürlich wird niocht sanktioniert.Es ist auch gegen die Verfassung darauf hinzuarbeiten das der deutsche Staat in einem anderen aufgeht,int. aber niemanden.

  2. Reinhard Hiß sagt:

    Wenn das Daten von 2018 sind, die nicht mehr benötigt werden, frage ich mich, was der Verarbeitungsgrund für die weitere Speicherung war. Es kann sich dabei auch nicht um ein Backup handeln, denn ein Backup hat nur den Zweck, zeitnah die Wiederherstellung eines technischen Systemes zu ermöglichen und darf daher nicht 1 1/2 JAhre ohne weiteren Grund gespeichert bleiben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.