SSD mit Daten von Jugendamt und Zulassungsstelle bei eBay gefunden

Arbeitet eine Behörde mit persönlichen Daten von Bürgern, ist besondere Sorgfalt geboten. Dennoch tauchte bei eBay eine SSD mit Zehntausenden Bürgerdaten auf.
Ende Oktober war Daniel R. auf der Suche nach einer günstigen SSD für seinen PC. Dabei stolperte er bei eBay über das Angebot der Peperit GmbH aus Reutlingen: Die bot insgesamt 19 SSDs von Silicon Power mit einer Kapazität von 256 GByte zum Stückpreis von knapp 30 Euro an. Die Laufwerke sollten laut Beschreibung neuwertig sein und aus Kundenretouren innerhalb des Widerrufsrechts stammen. Alle SSDs seien geprüft und getestet worden und befänden sich in einwandfreiem Zustand.
Klingt doch nicht schlecht, dachte sich Daniel D., und orderte am 31. Oktober ein Exemplar. Der Händler bestätigte den Kauf und kurz darauf traf die SSD beim Kunden ein. Schon beim Auspacken wurde dieser stutzig: Die vermeintlich „neuwertige“ SSD zeigte deutliche Nutzungsspuren und Beschädigungen im Bereich der Befestigungsschrauben.

Schlimmes ahnend schloss Daniel D. die SSD erst einmal an seinen Linux-PC an und mountete das Gerät im Read-only-Modus. Ein Blick auf den Betriebsstundenzähler der SSD bestätigte seine Befürchtungen: Das Teil hatte bereits mehr als 2500 Stunden in einem PC gearbeitet und war mehr als 560 Mal ein- und ausgeschaltet worden. Im bisherigen Leben der SSD hatte diese gut 4200 GByte Daten geschrieben (NAND-Schreibvorgänge) – zu einer vorgeblich aus einem Widerruf stammenden SSD passte das so gar nicht.
Daniel D. warf noch einen schnellen Blick auf die Partitionierung der SSD und traute seinen Augen kaum: Auf dem Laufwerk war eine komplette Windows-10-Installation mit allen im Laufe von knapp zwei Jahren Betrieb gesammelten Daten. Bei den Daten, das stellte Daniel D. sofort fest, handelte es sich um Informationen zu typischen Verwaltungsakten einer Zulassungsstelle.

Behördendaten auf einer angeblich neuwertigen SSD vom eBay-Händler? Das war Daniel D. dann doch nicht geheuer. Unverzüglich informierte er die c’t-Redaktion und bat uns, die Sache genauer unter die Lupe zu nehmen. Damit die SSD mit den sensiblen Daten nicht in falsche Hände gerät, brachte Daniel D. sie persönlich in die Redaktion und nahm dafür auch eine längere Zugfahrt aus der Gegend um Nürnberg nach Hannover in Kauf.

Weiterlesen:

https://www.heise.de/ct/artikel/SSD-mit-...en-4615144.html