Auf Mastodon ansehen
Es vergeht kein Tag, an dem wir nichts über Ransomware-Infektionen, Hacker-Angriffe und Datenklau lesen. Davon sind in den meisten Fällen Firmen, Organisationen und Behörden betroffen. Besonders schlimm ist dieser "Datenreichtum", wenn Unschuldige und "Zwangsverdatete" betroffen sind. Damit meine ich nicht die gehackten Organisationen, sondern die Personen, deren Daten gestohlen wurden. Das können Hotelbucher, Steuerzahler, Kreditkartenverwenderinnen, Nutzerinnen von Dating-Plattformen, usw. sein.
Als Titelbild habe ich nicht den üblichen Hoodie-Hacker, sondern ein Boss-Bild verwendet. In diesem Artikel geht es mir genau um diesen Unterschied.
Nehmen wir als Beispiel eine Meldung vom 3. Oktober 2024, die bei Heise erschienen ist:
"Alptraum": Daten aller niederländischen Polizisten geklaut – von Drittstaat?
Was entnehmen wir als mediengeschulte Menschen dieser Titelzeile?
- Alptraum: es muss sich um etwas ganz Schlimmes handeln
- Daten: aha, ein Fall von Daten-Diebstahl
- aller niederländischen Polizisten: WTF, aller Polizisten; aus einer Behörde gestohlen?
- geklaut: Da fand ein Diebstahl von Dieben statt!
- von Drittstaat: Putin, China, geopolitische Gefährdung!
Liebe Heise-Redakteur:in (nen), was soll diese Titelzeile? Click Bait? Ausserdem ist es ein Albtraum, wenn jemand Alptraum statt Albtraum schreibt. Ja, ist zwar gemäss Duden möglich, schön ist es trotzdem nicht.
Ich würde die Heise-Schlagzeile so umformulieren:
"Niederländische Polizei veruntreut Daten ihrer Mitarbeitenden"
Doch mir geht es hier nicht um grammatikalisches Heise-Bashing, sondern um die Umkehrung von Schuld. Schuld bedeutet die persönliche Vorwerfbarkeit vorsätzlichen oder fahrlässigen Verhaltens. Ich würde dieser Definition noch die "kollektive Schuld" hinzufügen; doch lassen wir das. Gehen wir von folgendem fiktivem Fall aus:
Die Gemeindeverwaltung von Kleinkleckersdorf hat die Steuerdaten ihrer Bürger durch einen Zugriff von Hackern auf die Steuerdatenbank preisgegeben. Die Hacker verschlüsselten die Datenbank (Ransomware-Angriff) und bieten den Schlüssel gegen Lösegeldzahlung der Gemeindeverwaltung an. Ausserdem drohen sie mit der Veröffentlichung der Daten, falls das Lösegeld nicht immerhalb von drei Tagen eintrifft.
So weit, so alltäglich. Meistens werden solche Vorfälle nicht kommuniziert und das Lösegeld wird gezahlt.
In diesem fiktiven Fall gibt es drei Beteiligte: Die Gemeindeverwaltung, die Hacker und die Bürger, deren Steuerdaten zu unlauteren Zwecken abgeflossen sind. Nun stellt sich die Frage nach Schuld und Unschuld. Die Steuerzahler sind die Unschuldigen und Geschädigten, weil sie per Gesetz verpflichtet sind, ihre Daten bei der Gemeindeverwaltung abzuliefern und weil die Veröffentlichung ihrer Steuerdaten droht.
Bei der Schuldfrage scheiden sich die Geister. Die Gemeindeverwaltung sagt: "Wir sind überfallen worden. Man hat unsere Daten gestohlen." Die Hacker sagen: "Die Daten waren unzureichend geschützt; aufgrund der IT-technischen Unzulänglichkeiten war es ein Leichtes, die Daten zu befreien."
An dieser Stelle möchte ich eine Analogie nennen: "Du wirst bestohlen, weil deine Haustüre nicht abgeschlossen war." Die Versicherung wird dir den Stinkefinger zeigen. Das Gericht wird dir vermutlich recht geben, weil ein Eindringen in deine Wohnung durch Dritte trotz nicht abgeschlossener Tür nicht rechtens ist. Bei Privatgütern hast du es in der Hand, wie gut du sie schützt. Auf den Schutz deiner Daten bei der Gemeindeverwaltung hast du keinen Einfluss.
Ich sehe die Gemeindeverwaltung als Schuldige. Sie verwaltet deine Steuerdaten und ist für eine professionelle Aufbewahrung verantwortlich. Als Bürger hat man keinen Einfluss darauf. Die Verwaltung muss die sichere Aufbewahrung der Bürgerdaten garantieren können. Und zwar gemäss dem sicherheitstechnischen Status quo. Die Einhaltung solcher Standards muss durch regelmässige externe Audits überprüft werden. Ja, das führt zu höheren Kosten. Falls diese Standards, im Fall eines Datenabflusses, nicht eingehalten wurden, ist die Gemeindeverwaltung zu belangen, bzw. der Boss der Firma, die deine Daten verloren hat.
Dass es auch anders geht, zeigt die Busse, die nun der Hotelkette Marriott auferlegt wurde. Der Hotelbetreiber wird nach mehreren Datenverlusten eine Strafe in Höhe von 52 Millionen Dollar zahlen. Die Sanktion folgt auf eine gemeinsame Untersuchung der US-Bundesstaaten und der Federal Trade Commission. Marriotts schlechte Sicherheitspraktiken führten zu mehreren Verstössen, von denen Hunderte Millionen Kunden betroffen waren.
Da ich kein Jurist bin, kann ich meine Ansichten nicht juristisch belegen. Zu diesem Thema habe ich vor drei Jahren mit dem Anwalt Christian Laux ein Interview geführt. Welche Meinung habt ihr dazu? Sollen die "Überfallenen" mehr Verantwortung für den Schutz eurer Daten übernehmen?
Quellen:
In weiten Teilen einverstanden. Ein paar Anmerkungen:
Marriott soll eine enorme Strafe zahlen. Mal davon abgesehen, dass solche Strafen in den USA meist noch reduziert werden, wem kommen sie denn zu? Den Kunden, die hier die Opfer sind, höchstwahrscheinlich nicht. Denn Strafe ist kein Schadensersatz.
Gerade bei einer staatliche Stelle als „Schuldiger“: wandert da eine Strafzahlung nicht direkt wieder in die Staatskasse? Linke Tasche, rechte Tasche, höchstens jetzt ein anderer Etat.
Stichwort „Schadensersatz“: zumindest ist Deutschland ist m.W. die Regelung hier in der Anwendung aufs Digitale schwierig. Ersatz gibt es für ganz reale Schäden. Gegenstand kaputt, relativ klare Sache. Bei digitalen „Schäden“ wird es schon bei der Wertbemessung schwieriger, gerade auch, wenn der eigentliche individuelle Schaden (noch) gar nicht eingetreten ist. Gerichte sind da eher altmodisch, Daten kann man halt nicht anfassen.
Bei Vorfällen dieser Art gelten Informationspflichten gegenüber Betroffenen (in DE). Ob dieser Verpflichtung überhaupt regelmäßig nachgekommen wird, zweifle ich einfach mal an. Bonus: sind staatliche Stellen betroffen, werden meine Zweifel noch einmal erheblich größer.
Zu der möglichen Schuld einer Gemeindeverwaltung, Daten zu sichern, gesellt sich auch noch die Softwarefirma, die die unsicheren Programm hergestellt und vertrieben hat. Was nützt mir ein Schloss, das als hochsicher verkauft wird, sich in der Praxis dann aber mit einer Haarnadel öffnen lässt. Und dieser Umstand selbst nach Bekanntwerden länger ignoriert wird...
Steuerdaten sind übrigens ein schönes Beispiel: in einigen skandinavischen Ländern sind diese einfach ohnehin öffentlich. Da entsteht dieses spezielle Beispiel gar nicht erst. (SCNR)
Kurz: das Thema ist komplexer und der Umgang damit an vielen Stellen noch weitaus enttäuschender als man denkt.
100% Sicherheit existiert nicht und selbst jede abgeschlossene Haustür kann man ganz sicher irgendwie aufbrechen. Die Frage ist viel mehr, ob die Sicherheitsvorkehrungen auf dem "aktuellen Stand der Technik" waren. Wenn die Schutzmassnahmen des Angegriffenen den allgemeinen, in der Industrie anzunehmenden, Vorkehrungen entsprachen, kann man ihm wohl keinerlei Vorwürfe machen. Andererseits, falls die ihre Aufsichts-, Fürsorge- und Sicherheitspflichten fahrlässig vernachlässigt haben, sollte es ebenso Geldstrafen für die Verantwortlichen Betreiber geben. Fahrlässiges Handeln ist zwar nicht immer zweifelsfrei nachzuweisen, doch in offensichtlichen Fällen müss(t)en selbstverständlich auch die Verantwortlichen der Datensicherung zur Opfer-Entschädigung, sprich: Schadenersatz, herangezogen werden.
Doch Technik verändert sich und insbesondere im IT-Umfeld geht es schon mal etwas schneller vorangehen. Jeder von uns weiß ganz genau wie schnell die Entwicklung in der Informatik in nur 1 Jahr sein kann. Manchmal wird das dann extrem schwierig zu entscheiden sein.
Erscheint mir ähnlich wie das: "Eltern haften für ihre Kinder". Denn das tun sie ebenfalls nur dann, wenn man nachweisen konnte, dass die allgemeine Aufsichtspflicht verletzt worden ist. Je nach Alter des Kindes, schwankt das sehr stark (für einen 4 Jährigen ist die Haftung sehr viel größer als für einen 15 Jährigen, der schon strafmündig ist und wo man dann vom Elternteil nicht mehr erwartet dem ständig hinterzulaufen). Egal ob es um Kinder & Jugendliche oder Datenklau in der IT geht, die Haftungsfrage hängt sehr stark vom Einzelfall ab!
Was mich viel mehr stört ist die Tatsache das ich überall meine Daten angeben MUSS! Auf der einen Seite muss ich nun auf jeder Webseite die Cookies akzeptieren damit mein Datenschutz gewährleistet ist (😂🤦), auf der anderen Seite brauche ich für jedes Gerät einen Account beim Hersteller. Beispiel Garmin Dashcam: Firmware-Update geht ohne Account nicht. Sena und Cardo Motorrad-Headset das selbe. Jeder Hersteller will an meine Daten und lässt sie sich dann klauen. 🙄 Da war sogar der (Firmware-)Download von einem FTP-Server sicherer. 😬 Bin ich eigentlich der Einzige den das stört?🤔
Müssen die Daten, die du dort eingibst, denn stimmen? :-) Für Zwangsapps habe ich ein Drittgerät ohne SIM und Google-Account, nur mit Aurora Store, und für Garmin-FW-Updates eine Windows-VM die sich nach jedem Shutdown zurücksetzt…
Was letztlich nur bedeutet: Ich stimme dir voll zu.
Das stört hier sicher nicht nur Dich – dagegen hilft wohl nur, sich vor dem Kauf schlauzumachen ;)
Schön das ich nicht der einzige bin den das stört. 😎 Aber kann man sich denn vor dem Kauf schlau machen? Ich denke das sieht/merkt man erst wenn man das Gerät updaten will. Und ein weiterer Punkt: Hat man überhaupt eine Wahl? Immer mehr Hersteller machen das so. Bei einigen Herstellern (z.B. HP) braucht es sogar einen aktiven Support-Vertrag das man Bios-Updates (Server) herunter laden kann! Der einzige Weg scheint daher "falsche Daten" anzugeben. Für etwas gibt es ja wegwerf eMail-Adressen 😁
Ich würde hier von Mitschuld der Verwaltung sprechen, nur dann, wenn sie nachweislich übliche Sicherheitsstandard nicht eingehalten hat. Keine Schuld sehe ich, wenn es um z.B. die ausgefeilte Ausnützung eines Sicherheitslecks einer (Sicherungs)Software geht. Das Hase-Igel-Spiel ist hier nicht zu gewinnen.
Im Zweifel bin ich, wenn Daten gestohlen wurden, die unfreiwillig, also pflichtgemäß, der Verwaltung überlassen wurden und ob dann nicht perse eine Mitschuld bestünde.
Derjenige aber, der sich unberechtigt fremden Eigentums bemächtigt ist unzweifelhaft ein Dieb und damit der (Haupt)Schuldige. Dies zu relativieren führt zu einer Relativierung von Recht und Unrecht. Hier ist ein bekanntes Gegenwarts-Phänomen, Opfer als Täter darzustellen, insbesondere,wenn dies den politischen Narrativen dienlich ist.
""Du wirst bestohlen, weil deine Haustüre nicht abgeschlossen war." […] Das Gericht wird dir vermutlich recht geben, weil ein Eindringen in deine Wohnung durch Dritte trotz nicht abgeschlossener Tür nicht rechtens ist. […]"
Wenn die Türe nur nicht abgeschlossen war, stimmt das. Wenn die Türe sperrangelweit offen stand, stimmt das nicht unbedingt – dann kommt es auf die Details des Einzelfalls an, anhand derer entschieden werden muss, ob die Wohnung gegen den erkennbaren Willen ihres Besitzers betreten wurde.
Das Nehmen von Gegenständen aus dem Besitz anderer ohne deren Einverständnis ist Privatbürgern immer verboten.
"Ich sehe die Gemeindeverwaltung als Schuldige. […] Als Bürger hat man keinen Einfluss darauf."
Ich sehe die Bürger als die Schuldigen, denn sie haben diese Obrigkeit gewählt. Wenn ich zur Aufbewahrung meiner Wertgegenstände nicht ein Bankschliessfach sondern eine Schublade meiner Nachbarn miete, ist es dem Gericht später auch egal wie gut ich beweisen kann, dass die Nachbarn hoch und heilig versprachen, sie würden ihr bestes geben und sorgfältig drauf aufpassen…
Mir gehört ein Flugzeug. Ein befreundeter Pilot stürzt damit ab. Ursache war eindeutig mangelhafte Wartung. Gewartet wurde es von einem Fahrrad-Mechaniker. Den habe ich beauftragt. Wer ist jetzt schuld? Das Wetter? Der Pilot? Der Fahrrad-Mechaniker? Oder eben doch ich, weil ich einen völlig unqualifizierten Menschen für die Tätigkeit ausgewählt habe?
Freiheit beginnt mit Eigenverantwortung. Auch an der Urne.
"Wenn Wahlen etwas ändern würden, wären sie längst verboten." - Kurt Tucholsky/ Emma Goldmann?
'Der Bürger' existiert aber nicht. Wenn ICH die momentane Obrigkeit gewählt habe (und mit mir die Mehrheit), kann ja meine Nachbarin nichts dafür, die die Datenschutzpartei gewählt hat, die aber nun mal nicht genug stimmen bekommen hat. Wenn wir demokratisch bleiben wollen, dann muss die Nachbarin das auch akzeptieren und kann keine Putsch für Datenschutz durchführen, sondern sich lediglich demokratischer Mittel bedienen, den Missstand zu ändern. Also ist SIE für den Abfluss der Daten schon mal nicht verantwortlich, denn SIE hat alles in ihrer Macht stehende getan. Also sind maximal die verantwortlich, die die momentane Obrigkeit gewählt haben. Da deren politisches Ziel aber mit großer Wahrscheinlichkeit auch nicht war, datenunsicher zu sein, hatten auch diese Bürger es nicht in der Hand - denn sie wussten ja gar nicht, dass sie mit ihrer Wahl auch Datenhuddelei unterstützen.
"Ausserdem ist es ein Albtraum, wenn jemand Alptraum statt Albtraum schreibt. Ja, ist zwar gemäss Duden möglich, schön ist es trotzdem nicht." Rechtschreibung hat nichts mit Ästhetik zu tun. Außerdem ist es ein Albtraum, wenn jemand ausserdem statt außerdem schreibt. Ja, ist zwar in der Schweiz korrekt, aber schön ist es trotzdem nicht. Aber immer noch besser als "Busse" weiter unten, wenn man sich auf reuiges Verhalten und nicht Personenverkehr bezieht; das ist nicht nur nicht schön, das ist sogar missverständlich, wenn auch korrekt.
"Ausserdem drohen sie mit der Veröffentlichung der Daten, falls das Lösegeld nicht immerhalb von drei Tagen eintrifft." Die Schreibung "immerhalb" statt "innerhalb" dürfte auch in der Schweiz immer falsch sein.
Glashaus, Steine und so.
Aber mal inhaltlich: Das ist mir dem "Minirockargument" zu ähnlich. Jaaahaaa, wenn sie aber nicht so einen aufreizenden Minirock getragen hätte, dann wäre sie auch nicht vergewaltigt worden. Wir müssen mal davon ausgehen, dass die Daten nicht einfach ungeschützt rumlagen (und selbst wenn, wäre es immer noch nicht erlaubt, sie einfach zu "klauen"). Also hat irgendwer etwas Verbotenes getan, um dranzukommen. Damit ist der Täter ganz klar bestimmt. Ob die Polizeibehörde eventuell eine Mitschuld hat, sei mal dahingestellt. Hauptschuld hat aber eindeutig, wer die Daten unberechtigt kopiert hat.