Ex-Mitarbeiter stahl Informationen von über 34.000 Kollegen

Dritte Datenpanne in Folge bei Pfizer

18. September 2007
Werner Kurzlechner lebt als freier Journalist in Berlin und stellt regelmäßig Rechtsurteile vor, die Einfluss auf die tägliche Arbeit von Finanzentscheidern nehmen. Als Wirtschaftshistoriker ist er auch für Fachmagazine und Tageszeitungen jenseits der IT-Welt tätig.
Gegen Erektionsstörungen bietet Pfizer Viagra an, für die eigene IT fehlt dem Pharma-Konzern bisher ein Allheilmittel: Zum dritten Mal binnen kürzester Zeit kamen dem Unternehmen sensible Daten abhanden. Erst jetzt wurde bekannt, dass ein ehemaliger Mitarbeiter bereits im vergangenen Jahr illegal persönliche Informationen von über 34.000 Kollegen kopiert hat - darunter Konto- und Kreditkartendaten.

Dass in Sachen IT-Sicherheit bei Pfizer einiges nicht stimmt, steht für Experten fest. "Eine Lücke kann jeden treffen", sagt beispielsweise Judd Rousseau, COO beim Identitäts-Management-Anbieter Identity Theft 911. "Aber beim dritten Mal beginnt sich ein Muster zu zeigen."

Der erste Vorfall wurde im Juni bekannt: Ende März hatte die Lebensgefährtin eines Pfizer-Mitarbeiters auf dessen Firmen-Laptop Zugangs-Software für ein "Peer-To-Peer"-Netzwerk geladen. Die anderen Nutzer konnten daraufhin in 2.300 Files Sozialversicherungsnummern, Adressen, Telefonnummern und andere Daten von 17.000 Kollegen einsehen. Das Unternehmen erfuhr davon nach eigenen Angaben am 18. April und deaktivierte umgehend die schädliche Software.

Im Juli machte die Pfizer-IT erneut negative Schlagzeilen: Am 31. Mai raubten Diebe zwei passwortgeschützte Laptops eines Zulieferer aus einem verschlossenen Auto. Darauf befanden sich kritische Daten von über 950 Healthcare-Spezialisten. Der Konzern kündigte an, mit wirksameren Verschlüsselungs-Features und Lokalisierungs-Software auf derlei Risiken reagieren zu wollen.

Kaum waren diese Schläge verdaut, machte "The Detroit News" die nächste Panne öffentlich. Der Zeitung war ein Brief zugespielt worden, in dem Pfizer seine Mitarbeiter über das Risiko eines Identitätsdiebstahl aufklärt. Man habe am zehnten Juli erfahren, dass der ehemalige Mitarbeiter Kopien von Datensätzen ohne Wissen des Unternehmens aus dem Computer-System der Firma entfernt habe.

Die Mitarbeiter informierten Pfizer allerdings erst sechs Wochen später. Währenddessen habe man mit externen Beratern die ungeschützten Daten gründlich und schnell überprüft, teilt das Unternehmen mit. Den Betroffenen greift der Konzern mit einem zweijährigen Kredit-Monitoring und einer Versicherung gegen Identitätsdiebstahl in Höhe von 50.000 US-Dollar unter die Arme.

Gartner-Analyst: Gefahren drohen einer Reihe von Unternehmen

Verloren gingen neben Sozialversicherungs- und Steuernummer unter anderem auch Kontozugangsdaten und Kreditdatennummern. Polizei und Behörden verfolgen den Fall, Missbräuche sind bislang nicht bekannt geworden.

Pfizer will jetzt sein Datenschutz-Programm umfassend überarbeiten und die Sicherheit kritischer Informationen deutlich erhöhen.

Jay Heiser vom Analysten-Haus Gartner erwartet, dass in den kommenden Monaten in einer ganzen Reihe von Unternehmen undichte Stellen sichtbar werden und zwar solange bis neue rechtliche Vorschriften tatsächlich effektiv umgesetzt werden: "Organisationen, die sich bisher über Datenlecks nicht viele Gedanken gemacht haben, werden durch die Vorgaben dazu gezwungen, die Kontrolle über ihre Daten zu verbessern“, sagte Heiser der Zeitschrift "Computer Weekly". Die Gefahr von Pannen bleibe groß, bis die Verschlüsselung sensibler Daten Routine geworden sei.

Zur Startseite