Ein Fall in den USA sorgt derzeit für Aufsehen. Dem Datenbroker National Publik Data sollen sehr viele Daten entwendet worden sein. Die Rede ist von fast drei Milliarden Datensätzen. Damit könnte es sich bei dem Datenleck um eines der größten aller Zeiten handeln.
Datenleck bei National Public Data in USA?
National Public Data ist ein US-amerikanisches Unternehmen für Hintergrundüberprüfungen. Der in Florida ansässige Datenbroker bietet landesweit Zugang zu Daten aus verschiedenen öffentlichen Datenbanken, Gerichtsakten und anderen Quellen.
Laut dem Sicherheitsportal Infosecurity Magazine soll das Unternehmen den Vorfall inzwischen in einer Stellungnahme bestätigt haben: „Es wird vermutet, dass ein böswilliger Dritter Ende Dezember 2023 versucht hat, in die Daten einzudringen, mit möglichen Datenlecks im April 2024 und im Sommer 2024“. Weitere Details zu dem Vorfall wurden bislang nicht bekannt.
Pikante Einzelheiten des Datenlecks ergeben sich allerdings aus einer Klage, die am 1. August 2024 beim U.S. District Court in Fort Lauderdale (Florida) gegen Jerico Pictures Inc. eingereicht wurde. Das Unternehmen betreibt National Publik Data.
Lese-Tipp: Studie zum Risikomanagement für neue Technologien im Finanzsektor
Betroffener verklagt National Public Date
Laut Klageschrift soll eine Hackergruppe namens USDoD am 8. April eine Datenbank mit dem Namen „National Public Data“ in einem Forum im Darknet veröffentlicht haben. Die Gruppe behauptet, im Besitz der persönlichen Daten von 2,9 Milliarden Menschen zu sein. Die Hacker boten die Datenbank für 3,5 Millionen US-Dollar zum Kauf an.
Sollte sich der Vorfall bestätigen, könnte es sich – gemessen an der Zahl der betroffenen Personen – um eine der größten Datenschutzverletzungen aller Zeiten handeln. Bei einem Datenleck bei Yahoo! im Jahr 2013 waren schätzungsweise die Daten von 3 Milliarden Menschen betroffen.
Zu den offengelegten Informationen gehörten unter anderem Sozialversicherungsnummern, vollständige Namen, Adressen und Informationen über Verwandte. Darunter waren auch Personen, die seit fast zwei Jahrzehnten verstorben sind.
Geklagt hat der Kalifornier Christopher Hofmann. Er wurde am 24. Juli von seinem Identitätsschutzdienst darüber informiert, dass seine Daten bei einer Straftat weitergegeben und im Darknet veröffentlicht wurden. Wie Bloomberg Law berichtet, verlangt der Kläger von National Public Data nicht nur eine finanzielle Entschädigung. Außerdem soll das Unternehmen verpflichtet werden, die persönlichen Informationen aller Betroffenen zu löschen und künftig alle gesammelten Daten zu verschlüsseln. Zudem soll ein unabhängiger Prüfer die Cybersicherheitsmaßnahmen des Unternehmens für die nächsten zehn Jahre jährlich bewerten. Der Kläger weist darauf hin, dass er zu keinem Zeitpunkt in die Nutzung seiner Daten durch das Unternehmen eingewilligt habe.
Link-Tipp: Hofmann v. Jerico Pictures, Inc., S.D. Fla., No. 0:24-cv-61383
Kommt jetzt ein nationales Datenschutzgesetz für die USA?
Kritik kommt auch von Datenschützern. Cliff Steinhauer ist Direktor für Informationssicherheit bei der National Cybersecurity Alliance, einer gemeinnützigen Organisation, die sich für die Sicherheit im Internet einsetzt. Für ihn liegt das Problem auf der Hand: „Das liegt daran, dass es in den USA kein nationales Datenschutzgesetz gibt. Es gibt kein Gesetz, das es solchen Firmen verbietet, diese Daten ohne unsere Zustimmung zu sammeln“, erklärt er gegenüber CBS News.
Könnte dieser Vorfall der Tropfen sein, der das Fass zum Überlaufen bringt? Mit der DSGVO hat die EU bereits gezeigt, wie effektiver Datenschutz umgesetzt werden kann. Das könnte auch ein Vorbild für die USA sein.