Mangelnde Zugangskontrolle – Universität erhält 5stelliges Bußgeld nach fehlerhaften TOM

von Tobias

Die norwegische Datenschutzbehörde Datatilsynet verhängt gegen die Universität Agder ein Bußgeld von 150.000 Norwegischen Kronen (umgerechnet etwa 12.565,00 €) wegen einer massiven Datenpanne.

Passiert war folgendes: Bei der Nutzung von Microsoft Teams waren verschiedene Dokumente mit teils sensiblen Daten in jeweils öffentlichen, also für alle Mitarbeiter, zugänglichen Gruppen frei verfügbar. Bestimmte Dokumente waren zudem auch allen Studenten verfügbar.

Microsoft Teams ermöglicht die Einteilung in öffentliche oder private Teams. Öffentliche Teams sind über den Teams-Katalog für alle sichtbar und Nutzer eines Tenants können diesen ohne Genehmigung des Teambesitzers beitreten. Privaten Teams dagegen kann nur beitreten, wer vom Teambesitzer hinzugefügt wurde.

Welche Daten waren einsehbar?

Konkret hatten beispielsweise alle Mitarbeiter Zugriff auf ein Übersichtsdokument in dem 4.851 Mitarbeiter sowie weitere 10.419 externe Personen mit Namen, Identitäts- und Mitarbeiternummer geführt wurden. Die Daten umfassten dabei teilweise einen Zeitraum seit 2024.

Weitere Dokumente, enthielten persönliche Angaben über Studenten mit angepassten Prüfungen, eine Liste mit den privaten Wohnanschriften von Mitarbeitern, die an einem bestimmten Projekt teilgenommen hatten und in einem Fall eine Mitteilung zur Krankschreibung eines Lehrbeauftragten.

Besonders hervorzuheben ist ein allen 12.000 Studenten zugängliches Dokument mit Daten über 64 aus der Ukraine stammende Flüchtlinge, welche der Universität zugehörig sind. Dieses enthielt umfangreiche Informationen. Neben dem Namen, der Matrikelnummer und dem Studienfach waren unter anderem auch Telefonnummer und Wohnadresse sowie Niederlassungsstatus vermerkt.

Welche Fehler hatte die Universität Agder gemacht?

Hier waren die technischen und organisatorischen Maßnahmen mangelhaft. Neben der fehlerhaften Zugriffskontrolle – Team Gruppen waren in der Regel immer öffentlich – gab es auch keine Schulung der Nutzer zum richtigen Umgang. Hinzu kommt noch ein Mangel in der Zugriffsprotokollierung. Diese war auf 6 Monate beschränkt, sodass nun rückwirkend nicht mehr festgestellt werden konnte welche tatsächlichen Zugriffe auf die betroffenen Dokumente erfolgten.

Das Bußgeld hätte noch höher ausfallen können. Positiv wurde das Verhalten der Universität im Nachgang gewertet. Nach der internen Mitteilung durch einen Mitarbeiter änderte man umgehend die Zugriffsverwaltung und änderte die öffentlichen Teams auf privat damit zukünftige Zugriffe vom Teambesitzern genehmigt werden müssen. Die Mitarbeiter wurden zeitnah über die sichere Nutzung von Teams geschult.

Weiter wurden dann auch die betroffenen Personen wenige Tage später informiert. Zusätzlich hat die Universität Informationen zum Vorfall auf Ihrer Webseite veröffentlicht. Daneben gab zwischenzeitlich mehrere Medienberichte zu dem Vorfall.

Wie wären die Fehler vermeidbar gewesen?

Der Vorfall zeigt die Gefahr durch mangelhafte technische und organisatorische Maßnahmen. Mangelhaft war hier jedoch nicht das Programm, sondern der Umgang durch die Anwender. Auch zeigt sich hier, wie die Fehler durch den Einsatz grundsätzlicher Datenschutzmaßnahmen, vermeidbar gewesen wären.

Beispielsweise hätten bereits durch eine einfache Schulung die Nutzer das Risikonachlässig abgelegten Dokumente erkennen können. Mit einen Berechtigungskonzept wären heikle Informationen nur den Nutzern zugänglich gewesen, die auch wirklich Einsicht auf sie brauchen und mit einem besseren Protokoll- oder Löschkonzept hätten viele weitergehende Probleme verhindert werden können.

Fazit

Der Vorfall zeigt die Gefahr durch mangelhafte technische und organisatorische Maßnahmen. Der Mangel war hier jedoch nicht ein Programm, sondern schlicht der gelebte tägliche Umgang durch die Anwender.

Falls Sie Fragen zum geschilderten Thema und/oder zu anderen datenschutzrelevanten Themen haben, kontaktieren Sie uns einfach!

Zentrale Hutthurm: +49 (0) 8505 91927 – 0

Niederlassung München: +49 (0) 89 413 2943 – 0

Oder nutzen Sie unser Kontaktformular.

Tobias

Der ISO/IEC 27001 Auditor / Lead Auditor mit langjähriger Tätigkeit in führender Funktion agiert für Kunden und Kollegen als kompetenter Ansprechpartner im Bereich der IT und IT-Security. Neben jahrelanger Erfahrung bei der Betreuung und im Management von komplexen Software- und IT-Projekten, VDI/Virtualisierungs- und NAC (Network-Access-Control)-Lösungen fühlt sich der zertifizierte Microsoft Spezialist auch im Bereich der Softwareentwicklung zu Hause. Mit seinem weitreichenden Wissen und vielseitigen technischen Know-how bereichert er Kunden und Team gleichermaßen.