Web

E-Bay-Kunde ersteigert PDA mit vertraulichen Daten von Morgan Stanley

26.08.2003

MÜNCHEN (COMPUTERWOCHE) - Das war mal eine Werbeansage, an der nun wirklich nichts geschönt war: "Blackberry RIM verkauft wie besehen!" Der Personal Digital Assistant (PDA) der Firma Research in Motion (RIM), der beim Internet-Auktionshaus E-Bay für schlappe 15,50 Dollar seinen Besitzer wechselte, besaß weder eine Synchronisations-Einheit - neudeutsch Dockingstation - noch eine Gebrauchsanleitung. Kabel gab es für den Schnäppchenpreis auch nicht. Als der Käufer, dessen Name ebenso wie der des Verkäufers anonym blieb, allerdings neue Batterien in den PDA einlegte, wurde ihm klar, welchen Schatz er da in Händen hielt: Der Handheld bunkerte Hunderte von E-Mails vertraulichen Inhalts und eine Adressendatenbank mit mehr als 1000 Namen, Titelbezeichnungen, E-Mail-Adressen und Telefonnummern von Managern der Finanz- und Unternehmensberatungsfirma Morgan Stanley. Die E-Mails eröffneten hochbrisante Interna von Morgan-Stanley-Kunden zu Fusionsplänen,

projektierten Firmenkäufen, ferner Informationen über Restrukturierungsmassnahmen und auch Details zu Kreditvergaben. In den Händen eines Morgan-Stanley-Wettbewerbers hätte sich der Blackberry-PDA als reines Gold erwiesen.

Auf seiner Hompepage wirbt das Finanzberatungsunternehmen prominent mit der Aussage, Morgan Stanley habe sich eine weltweite Reputation für exzellente Finanzberatungen und für Marktstrategien erworben. 58.000 Angestellte bei Morgan Stanley in 27 Ländern würden Menschen, Ideen und Kapital miteinander in Verbindung bringen. Morgan-Stanley-Kunden unterstütze man so bei der Vermögensakkumulierung. Wäre der Vorfall für Morgan Stanley nicht so hochnotpeinlich, könnte man witzeln, insbesondere den Anspruch, Menschen, Ideen und Kapital einander zuzuführen, habe das Unternehmen etwas zu wörtlich genommen.

Bei dem Verkäufer des PDA handelt es sich um einen ehemaligen Vice President, also einen vergleichsweise hochrangigen Manager. Er war in der Abteilung tätigt, die Morgan-Stanley-Kunden bei Fusionen und Firmenaufkäufen berät. Der Manager hatte das Unternehmen vor einigen Monaten verlassen. Auf dem PDA fanden sich neben vielen vertraulichen Wirtschafts- und Geschäftszahlen von Kunden auch persönliche Daten des Managers, etwa zu seinen Rentenversorgungsplänen, seinen monatlichen Ratenzahlungen und seinen Visa-Kreditkartenüberweisungen.

Der Manager, der mit dem "Wired"-Nachrichtendienst ein Interview führte, gab an, es sei ihm nicht bewusst gewesen, dass alle geheimen Kundeninterna noch auf dem PDA gespeichert waren. Zum einen sei das Gerät seit Monaten nicht mehr benutzt worden, zum anderen habe er die Batterien aus dem Handheld entfernt, dieses sei also nicht mehr mit Strom versorgt worden. Zudem sei er, sagte der Manager, davon ausgegangen, dass der User-Support von Morgan Stanley zum Zeitpunkt seines Ausscheidens alle Daten via Remote-Anbindung von dem PDA löschen würde.

Dieses Vorgehen ist bei Blackberry-PDAs prinzipiell eine von zwei Möglichkeiten, Daten komplett von dem Handheld zu löschen. Neben der manuellen, vom PDA-Benutzer zu bewerkstelligenden Löschung mittels der Synchronisationssoftware, können alle Informationen auch remote über einen Server entfernt werden. Allerdings, so RIM-Sprecherin Courtney Flaherty, funktioniert das nur, wenn ein Unternehmen Microsofts Exchange Server benutzt und nicht etwa, wie Morgan Stanley, Lotus Domino.

Die Finanz- und Unternehmensberatungsfirma wirft seinem ehemaligen Angestellten nun vor, seine vertraglichen Verpflichtungen gegenüber Morgan Stanley nicht eingehalten zu haben. Danach ist ein Angestellter verpflichtet, alle Interna über das eigene Unternehmen wie auch solche von Kunden strikt vertraulich zu behandeln. Ferner muss er nach dem Ausscheiden aus dem Betrieb gespeicherte Daten komplett löschen. Der betroffene Manager wiederum betont, er habe sich darauf verlassen, dass die IT-Spezialisten von Morgan Stanley diese Aufgabe übernehmen würden. Der PDA stand im persönlichen Besitz der Führungskraft und gehörte nicht dem Unternehmen.

Potenzielle Fundgrube

Es ist nicht das erste Mal, dass vertrauliche Daten noch auf Gerätschaft lagert, die dann verkauft wurde. Im vergangenen Jahr veräußerte eine medizinische Einrichtung in den USA 139 ausgemusterte Computer an Schulen. Auf den Rechnern fanden sich noch die Kreditkartennummern und medizinischen Daten von Patienten, die an der Immunschwächekrankheit AIDS erkrankt waren oder die unter psychischen Problemen litten.

Forscher des renommierten Technikinstituts Massachusetts Institute of Technology (MIT) hatten darüber hinaus vor einigen Monaten testhalber 129 gebrauchte Festplatten bei E-Bay und bei Computer-Wiederverkäufern erstanden, um zu prüfen, auf wievielen Laufwerken noch Daten gespeichert waren. Nur zwölf der geprüften 129 Festplatten waren vor dem Weiterverkauf so ordentlich gesäubert worden, dass die Forscher keine Informationen mehr lesen konnten. Eine Festplatte speicherte noch 3722 Kreditkartennummern. Ein anderer Massenspeicher stammte offensichtlich aus einem Bankautomaten und enthielt noch die Geheimnummern von Kunden sowie deren Kontostände.

Kritiker geben zu bedenken, dass Menschen mit krimineller Energie den Umstand nutzen können, dass es eine Vielzahl ausgemusterter Datenspeichern gibt, die über Internetauktionshäuser an Dritte verkauft werden und die noch vertrauliche Daten enthalten. Auch der ehemalige Morgan-Stanley-Manager gab zu Protokoll, es wäre sicherlich ein lohnendes Geschäft, bei den diversen Internet-Versteigerern Anfragen nach PDAs wie dem Blackberry-Handheld zu lancieren. "Dann brauchen sie nur noch zu warten, bis die Angebote eintrudeln, sie kaufen alle PDAs auf und überprüfen diese dann auf brisante, weil vertrauliche Daten." (jm)