Der japanische Energieversorger Kyushu Electric Power Co., Inc. untersucht den Verlust einer externen Festplatte, auf der personenbezogene Daten von bis zu 10,9 Millionen Kunden gespeichert waren. Das Speichermedium wurde Ende April für Backup-Zwecke genutzt und in einem Serverraum gelagert. Ende Mai stellte das Unternehmen fest, dass der Schrank unverschlossen war und die Festplatte fehlte.

Auf dem Datenträger befanden sich unter anderem Kundennamen, Adressen, Stromverbrauchsdaten, Telefonnummern und Informationen zu Stromanbietern. Nach Unternehmensangaben waren jedoch keine Bank- oder Kreditkartendaten gespeichert. Medienberichten zufolge hatten 57 Personen Zugang zu dem betreffenden Serverraum. Zudem erstattete Kyushu Electric am 4. Juni Anzeige bei der Polizei, da das Unternehmen davon ausgeht, dass die Festplatte von einer Person entfernt wurde.

Der Sender NHK berichtete außerdem, dass das japanische Ministerium für Wirtschaft, Handel und Industrie dem Unternehmen eine Frist bis zum 8. Juli gesetzt hat, um einen vollständigen Bericht über den Vorfall sowie die ergriffenen Präventions- und Sicherheitsmaßnahmen vorzulegen.

Die Festplatte konnte trotz interner Untersuchungen bislang nicht gefunden werden. Da ein unbefugter Zugriff nicht ausgeschlossen werden kann, wurde die Polizei eingeschaltet und die zuständigen Datenschutzbehörden informiert. Die betroffenen Kunden sollen in den kommenden Wochen benachrichtigt werden.

Was Unternehmen daraus lernen können

Der Vorfall verdeutlicht, dass Datenschutzverletzungen nicht nur durch Cyberangriffe entstehen, sondern auch durch den Verlust physischer Datenträger. Unternehmen sollten deshalb sowohl technische als auch organisatorische Schutzmaßnahmen konsequent umsetzen.

Zu den wichtigsten Lehren gehören:

• Verschlüsselung von Datenträgern: Externe Festplatten und andere Backup-Medien sollten grundsätzlich verschlüsselt werden. Selbst bei Verlust bleiben die gespeicherten Daten für Unbefugte unzugänglich.
• Strenge Zugriffskontrollen: Serverräume, Schränke und Archive mit sensiblen Daten müssen jederzeit gesichert und der Zugang auf autorisierte Personen beschränkt sein.
• Lückenlose Inventarisierung: Unternehmen sollten jederzeit nachvollziehen können, wo sich Datenträger befinden, wer sie zuletzt genutzt hat und wann sie bewegt wurden.
• Physische Sicherung von Datenträgern: Backup-Festplatten sollten in abschließbaren, überwachten Schränken oder Tresoren aufbewahrt werden. Die Entnahme und Rückgabe sollte dokumentiert und regelmäßig kontrolliert werden.
• Einsatz moderner Backup-Lösungen: Wo möglich, sollten physische Datenträger durch zentral verwaltete Backup-Systeme oder sichere Cloud-Backups ergänzt oder ersetzt werden, um das Risiko von Verlust oder Diebstahl zu reduzieren.
• Umsetzung der 3-2-1-Backup-Regel: Unternehmen sollten mindestens drei Kopien ihrer Daten vorhalten, auf zwei unterschiedlichen Speichermedien speichern und eine Kopie an einem separaten Standort aufbewahren. Dadurch bleiben Daten auch dann verfügbar, wenn ein Datenträger verloren geht, gestohlen wird oder beschädigt wird.
• Datensparsamkeit bei Backups: Es sollte regelmäßig geprüft werden, welche Daten tatsächlich gesichert werden müssen. Weniger gespeicherte Daten reduzieren das Risiko im Schadensfall.
• Regelmäßige Sicherheitsprüfungen: Audits und Kontrollen helfen dabei, organisatorische Schwachstellen – wie unverschlossene Schränke oder fehlende Dokumentationen – frühzeitig zu erkennen.
• Klare Melde- und Notfallprozesse: Ein definierter Incident-Response-Plan ermöglicht eine schnelle Reaktion, einschließlich der Information von Behörden, Betroffenen und Strafverfolgungsbehörden.
• Sensibilisierung der Mitarbeitenden: Schulungen zu physischer und digitaler Informationssicherheit können dazu beitragen, menschliche Fehler und Nachlässigkeiten zu vermeiden.

Der Fall zeigt, dass selbst etablierte Unternehmen mit umfangreicher IT-Infrastruktur erhebliche Risiken eingehen, wenn grundlegende Sicherheitsmaßnahmen für physische Datenträger nicht konsequent eingehalten werden. Gleichzeitig macht der Vorfall deutlich, wie wichtig eine durchdachte Backup-Strategie ist: Mehrere redundante Sicherungskopien nach dem 3-2-1-Prinzip erhöhen nicht nur die Verfügbarkeit geschäftskritischer Daten, sondern reduzieren auch die Auswirkungen von Verlust, Diebstahl oder technischen Defekten einzelner Datenträger.