 (2).svg)
Analytics
Uptime
BioLink
ADVarient
1 month ago
Es vergeht kein Tag, an dem wir nichts über Ransomware-Infektionen, Hacker-Angriffe und Datenklau lesen. Davon sind in den meisten Fällen Firmen, Organisationen und Behörden betroffen. Besonders schlimm ist dieser "Datenreichtum", wenn Unschuldige und "Zwangsverdatete" betroffen sind. Damit meine ich nicht die gehackten Organisationen, sondern die Personen, deren Daten gestohlen wurden. Das können Hotelbucher, Steuerzahler, Kreditkartenverwenderinnen, Nutzerinnen von Dating-Plattformen, usw. sein.
Als Titelbild habe ich nicht den üblichen Hoodie-Hacker, sondern ein Boss-Bild verwendet. In diesem Artikel geht es mir genau um diesen Unterschied.
Nehmen wir als Beispiel eine Meldung vom 3. Oktober 2024, die bei Heise erschienen ist:
"Alptraum": Daten aller niederländischen Polizisten geklaut – von Drittstaat?
Was entnehmen wir als mediengeschulte Menschen dieser Titelzeile?
- Alptraum: es muss sich um etwas ganz Schlimmes handeln
- Daten: aha, ein Fall von Daten-Diebstahl
- aller niederländischen Polizisten: WTF, aller Polizisten; aus einer Behörde gestohlen?
- geklaut: Da fand ein Diebstahl von Dieben statt!
- von Drittstaat: Putin, China, geopolitische Gefährdung!
Liebe Heise-Redakteur:in (nen), was soll diese Titelzeile? Click Bait? Ausserdem ist es ein Albtraum, wenn jemand Alptraum statt Albtraum schreibt. Ja, ist zwar gemäss Duden möglich, schön ist es trotzdem nicht.
Ich würde die Heise-Schlagzeile so umformulieren:
"Niederländische Polizei veruntreut Daten ihrer Mitarbeitenden"
Doch mir geht es hier nicht um grammatikalisches Heise-Bashing, sondern um die Umkehrung von Schuld. Schuld bedeutet die persönliche Vorwerfbarkeit vorsätzlichen oder fahrlässigen Verhaltens. Ich würde dieser Definition noch die "kollektive Schuld" hinzufügen; doch lassen wir das. Gehen wir von folgendem fiktivem Fall aus:
Die Gemeindeverwaltung von Kleinkleckersdorf hat die Steuerdaten ihrer Bürger durch einen Zugriff von Hackern auf die Steuerdatenbank preisgegeben. Die Hacker verschlüsselten die Datenbank (Ransomware-Angriff) und bieten den Schlüssel gegen Lösegeldzahlung der Gemeindeverwaltung an. Ausserdem drohen sie mit der Veröffentlichung der Daten, falls das Lösegeld nicht immerhalb von drei Tagen eintrifft.
So weit, so alltäglich. Meistens werden solche Vorfälle nicht kommuniziert und das Lösegeld wird gezahlt.
In diesem fiktiven Fall gibt es drei Beteiligte: Die Gemeindeverwaltung, die Hacker und die Bürger, deren Steuerdaten zu unlauteren Zwecken abgeflossen sind. Nun stellt sich die Frage nach Schuld und Unschuld. Die Steuerzahler sind die Unschuldigen und Geschädigten, weil sie per Gesetz verpflichtet sind, ihre Daten bei der Gemeindeverwaltung abzuliefern und weil die Veröffentlichung ihrer Steuerdaten droht.
Bei der Schuldfrage scheiden sich die Geister. Die Gemeindeverwaltung sagt: "Wir sind überfallen worden. Man hat unsere Daten gestohlen." Die Hacker sagen: "Die Daten waren unzureichend geschützt; aufgrund der IT-technischen Unzulänglichkeiten war es ein Leichtes, die Daten zu befreien."
An dieser Stelle möchte ich eine Analogie nennen: "Du wirst bestohlen, weil deine Haustüre nicht abgeschlossen war." Die Versicherung wird dir den Stinkefinger zeigen. Das Gericht wird dir vermutlich recht geben, weil ein Eindringen in deine Wohnung durch Dritte trotz nicht abgeschlossener Tür nicht rechtens ist. Bei Privatgütern hast du es in der Hand, wie gut du sie schützt. Auf den Schutz deiner Daten bei der Gemeindeverwaltung hast du keinen Einfluss.
Ich sehe die Gemeindeverwaltung als Schuldige. Sie verwaltet deine Steuerdaten und ist für eine professionelle Aufbewahrung verantwortlich. Als Bürger hat man keinen Einfluss darauf. Die Verwaltung muss die sichere Aufbewahrung der Bürgerdaten garantieren können. Und zwar gemäss dem sicherheitstechnischen Status quo. Die Einhaltung solcher Standards muss durch regelmässige externe Audits überprüft werden. Ja, das führt zu höheren Kosten. Falls diese Standards, im Fall eines Datenabflusses, nicht eingehalten wurden, ist die Gemeindeverwaltung zu belangen, bzw. der Boss der Firma, die deine Daten verloren hat.
Dass es auch anders geht, zeigt die Busse, die nun der Hotelkette Marriott auferlegt wurde. Der Hotelbetreiber wird nach mehreren Datenverlusten eine Strafe in Höhe von 52 Millionen Dollar zahlen. Die Sanktion folgt auf eine gemeinsame Untersuchung der US-Bundesstaaten und der Federal Trade Commission. Marriotts schlechte Sicherheitspraktiken führten zu mehreren Verstössen, von denen Hunderte Millionen Kunden betroffen waren.
Da ich kein Jurist bin, kann ich meine Ansichten nicht juristisch belegen. Zu diesem Thema habe ich vor drei Jahren mit dem Anwalt Christian Laux ein Interview geführt. Welche Meinung habt ihr dazu? Sollen die "Überfallenen" mehr Verantwortung für den Schutz eurer Daten übernehmen?
Quellen:
https://gnulinux.ch/gln016-podcast
GNU/Linux.ch ist ein Community-Projekt. Bei uns kannst du nicht nur mitlesen, sondern auch selbst aktiv werden. Wir freuen uns, wenn du mit uns über die Artikel in unseren Chat-Gruppen oder im Fediverse diskutierst. Auch du selbst kannst Autor werden. Reiche uns deinen Artikelvorschlag über das Formular auf unserer Webseite ein.
Games 
Musik 
