Datendiebstahl bei der FIFA

Kriminelle FIFA Mitarbeiter verkaufen Passdaten von 35.000 Fußball-WM-Fans

14.09.2010 | Redakteur: Peter Schmitz

Unbekannte haben die persönlichen Daten von bis zu 35.000 Fußball-Fans FIFA WM Ticketdatenbank gestohlen.
Unbekannte haben die persönlichen Daten von bis zu 35.000 Fußball-Fans FIFA WM Ticketdatenbank gestohlen.

Die britische Datenschutzbehörde hat eine Untersuchung gegen die Weltfußballorganisation FIFA eingeleitet, da angeblich die Daten von mehr als 35.000 englischer WM-Fans – einschließlich ihrer Passdaten – von einem oder mehreren Mitarbeitern abgerufen und dann auf dem Schwarzmarkt weiterverkauft wurden.

Die persönlichen Daten von mehr als 35.000 Fans aus England, die zur FIFA WM 2006 nach Deutschland gereist waren, sollen jetzt zu Marketingzwecken an Kartenschwarzhändler verkauft worden sein. „Das war klar illegal und stellt auch in die internen Sicherheitsverfahren des Weltfußballverbandes in Frage, dessen IT-Verantwortliche es wirklich besser wissen sollten,“ sagt Amichai Shulman, Chief Technology Officer bei Imperva.

„Dies bestätigt, was wir seit einiger Zeit sagen, nämlich dass die meisten Organisationen ihre Datenbestände gegen externe Angriffe absichern, aber sie ignorieren die internen Bedrohungen und begeben sich so in Gefahr,“ fügt er hinzu.

Laut Shulman hätte dieser schlimme Vertrauensbruch verhindert werden können, wenn die FIFA den Mitarbeiterzugriff auf die persönlichen Daten der Fußballfans sowie auf die Dateien und Datenbanken des Verbandes überwacht und abgesichert hätte. Wäre nur streng überwachter Zugriff auf die Daten möglich gewesen, wäre dem kriminellen Mitarbeiter von vorneherein klar gewesen, dass es keine Möglichkeit gegeben hätte, unerkannt die Informationen auszulesen.

Kein externer Hack sondern interner Datenmißbrauch

Die Mitarbeiter haben nämlich die Datenbank nicht gehackt – es handelte sich um eine interne Attacke, bei der die normale Funktionalität und die legitimen Privilegien missbraucht wurden. Wahrscheinlich handelt es sich um einen Fall übermäßiger Privilegien für Mitarbeiter – Angestellte auf niedriger Ebene hätten sowieso nie Zugriff auf diese Daten haben dürfen.“

Allerdings stellt sich eine Frage mit Vehemenz: Wieso eigentlich waren diese vier Jahre alten Daten immer noch gespeichert?

Shulman kommentiert: „Bei den verkaufen Daten handelt es sich um Fan-Daten aus dem Jahr 2006, die nun für die WM 2010 genutzt wurden. Man kann sich zwei verschiedene Szenarien vorstellen:

1. Die Daten wurden 2006 gestohlen, lokal gespeichert und vom Insider dann verkauft, als der richtige Zeitpunkt gekommen war. Der Angestellte wusste bereits 2006, dass er auf einem Schatz sitzt, denn Fußball-Fans bleiben ihrer Leidenschaft treu, und vier Jahre später würden diese Daten äußerst wertvoll sein.

2. Die andere Option – von der ich annehme, dass sie wohl zutrifft – ist, dass die Daten von 2006 immer noch in den FIFA-Datenbanken gespeichert waren und erst 2010 von den Mitarbeitern abgerufen wurden.

Warum also wurden die Daten – inklusive der Passdaten – überhaupt so lange gespeichert? Falls die Daten aus nachvollziehbaren Gründen in den Systemen der Firma gespeichert blieben, etwa für Statistiken, Analysen, Vorhersagen etc., warum hat man es dann für notwendig erachtet, persönliche Details wie die Passdaten zu behalten? Es sieht sehr danach aus, dass die Kontrolle der Datenbank völlig unzureichend war.“

Seite 2: Ungeklärte Sicherheitslage bei der FIFA Ticketdatenbank

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2047129 / Datenbanken)