IBM exponiert Daten von 70.000 Personen in Testumgebung der Singapore Land Authority

Die Singapore Land Authority bestätigte unbefugten Zugriff auf eine von IBM verwaltete Cloud-Umgebung, wodurch Namen, NRIC-Nummern und Adressen von etwa 70.000 Personen, die seit 1998 in einem nie anonymisierten Testdatensatz gespeichert werden, offengelegt wurden.
Die Singapore Land Authority (SLA) gab am 3. Juli bekannt, dass persönliche Daten von etwa 70.000 Personen unbefugt in einer von IBM verwalteten Cloud-Umgebung abgerufen wurden. Die kompromittierten Datensätze umfassen Namen, NRIC-Nummern (National Registration Identity Card) und Adressen von betroffenen Immobilien.
"Die SLA wurde von IBM über einen Sicherheitsvorfall informiert, der den unbefugten Zugriff auf eine von IBM verwaltete Cloud-Umgebung betrifft," sagte die Behörde in einer Erklärung auf ihrer offiziellen Website. IBM hat den Zugriff auf die kompromittierte Umgebung widerrufen, und die SLA hat eine gemeinsame Reaktionsgruppe mit IBM, der Government Technology Agency of Singapore (GovTech) und der Cyber Security Agency of Singapore (CSA) gebildet. Der Vorfall wurde der Polizei gemeldet, und die Personal Data Protection Commission von Singapur wurde benachrichtigt.
Bis zum Redaktionsschluss hatte IBM keine eigene öffentliche Mitteilung veröffentlicht.
Datensatz von 1998 wurde nie anonymisiert überprüft
Die exponierte Datenbank wurde 1998 für die Entwicklung und das Testen der Integrationssysteme STARS (Singapore Titles Automated Registration System) und ELS (eLodgment System) erstellt, die beiden zentralen Systeme, die Übertragungen von Eigentum und die Registrierung von Immobilienlasten in Singapur verarbeiten. Der erklärte Zweck war es, nur fiktive Datensätze zu enthalten.
"Die Informationen hätten anonymisiert werden sollen, wurden es jedoch nicht," sagte die SLA und fügte hinzu, dass Untersuchungen im Gange sind, um zu klären, wie echte Daten fast drei Jahrzehnte lang in der Umgebung geblieben sind. Die Behörde bestätigte, dass die Produktionssysteme STARS und ELS unberührt bleiben und dass kein operativer Datensatz kompromittiert wurde.
Der ursprüngliche Vertrag zwischen IBM und der SLA liegt vor dem Personal Data Protection Act von Singapur, der 2012 verabschiedet wurde. Der Standard ist in Organisationen mit langen IT-Verträgen üblich: Datensätze, die vor modernen Datenschutzverordnungen erstellt wurden, mit echten Daten aus operativen Gründen, überdauern Jahrzehnte in nicht-produktiven Umgebungen ohne Lebenszyklusüberprüfung, unsichtbar in den im Laufe der Zeit neu verhandelten Service-Level-Agreements.
Der blinde Fleck bei Managed Services-Verträgen
Die Verantwortung für Daten in Testumgebungen wird in IT-Outsourcing-Verträgen, die vor 2015 abgeschlossen wurden, selten beschrieben. Der Anbieter verwaltet die Umgebung; der Auftraggeber geht davon aus, dass die Anonymisierung durchgeführt wurde; keiner von beiden prüft den Datensatz regelmäßig. Der Vorfall bei der SLA rückt diesen blinden Fleck in den Mittelpunkt der Debatte über Datenmanagement im langfristigen Outsourcing.
In Europa klassifiziert die DORA-Verordnung, die seit Januar 2025 in Kraft ist, von Dritten verwaltete IT-Umgebungen als primäres operationelles Risiko für Finanzinstitute. Die Offenlegung echter Daten in einer vom Anbieter verwalteten Testumgebung erfordert eine Benachrichtigung der zuständigen Behörde innerhalb von 24 Stunden, wenn Auswirkungen auf Finanzdienstleistungen bestehen. Europäische Banken, die IBM als Anbieter von Legacy-Infrastruktur nutzen, müssen überprüfen, ob ihre Verträge den Lebenszyklus von Daten in nicht-produktiven Umgebungen ausdrücklich abdecken.
In Japan, wo Banken wie MUFG und Mizuho Verträge über Managed Services mit westlichen Integratoren für Bankkernsysteme aus den 1990er Jahren haben, ist die Situation vergleichbar. Das 2022 aktualisierte Gesetz über den Schutz persönlicher Informationen (APPI) verpflichtet zur Einhaltung in allen Umgebungen, in denen persönliche Daten vorhanden sind, einschließlich Entwicklung und Tests. Die japanische Regulierungsbehörde PPC führt nach den Änderungen von 2022 spezifische Prüfungen zu Daten in Entwicklungsumgebungen durch, aber die Überwachung von Drittanbietern bleibt inkonsistent.
Was sich für Unternehmen ändert, die Legacy-Infrastruktur outsourcen
Accenture, Capgemini, TCS und Infosys verwalten Entwicklungs- und Testumgebungen für Regierungen und Banken im asiatisch-pazifischen Raum, in Europa und Lateinamerika mit Verträgen, die unter ebenso veralteten Datenschutzregimen strukturiert sind. IBM ist kein Einzelfall: Es ist ein dokumentierter Fall. Die Frage, die der Vorfall für jeden CIO mit langfristigen Outsourcing-Verträgen aufwirft, ist direkt: Wann wurde das letzte Mal der Testdatensatz Ihres Anbieters überprüft, um die Anwesenheit echter persönlicher Daten festzustellen?
Die SLA bestätigte, dass sie die 70.000 betroffenen Personen einzeln benachrichtigt und über verfügbare Unterstützungsmaßnahmen informiert. Der Ursprung des unbefugten Zugriffs und die Dauer der Datenexposition bleiben unter der Untersuchung von IBM, GovTech und CSA.