Eintrag markiert ‘Datenpanne’

Ergänzung zum Artikel: „Hoffen, dass es keiner merkt…“

Samstag, 27. August 2011

Wie in einem Update auf Heise-Online zu lesen war, äußerte sich ein CDU-Sprecher im Gespräch mit heise online: „Der Hackerangriff 2009 sei zwar registriert worden, zum damaligen Zeitpunkt konnte aber kein Datenverlust festgestellt werden.“

Leider macht diese Aussage die im Blogeintrag „Hoffen, dass es keiner merkt: Datenpanne bei der CDU“ geschilderte Situation in keiner Weise besser: Hackerangriffe können, wenn die passende Infrastruktur installiert ist, relativ einfach bemerkt werden. So treten z. B. Login-Versuche von unzulässigen IP-Adressen auf etc., Aktionen, die häufig auch von Kontrollsystemen außerhalb des angegriffenen Systems bemerkt werden können. Da Daten jedoch bei einem „Datendiebstahl“ nicht abhanden kommen, sondern überlicherweise kopiert werden, ist ein konkreter „Diebstahl“ erheblich schwerer festzustellen. Spuren des Kopierens finden sich häufig nur auf dem befallenen System selbst und sind dort durch Manipulation von Log-Datien und History-Dateien etc. durch den Angreifer verwischbar. Insofern wird man bei vielen Hackerangriffen zwar feststellen, dass diese stattgefunden haben, jedoch die genauen Tätigkeiten des Angreifers nicht nachvollziehen, sondern lediglich vermuten können.

Vor diesem Hintergrund, sehe ich eine Aussage, man habe den Angriff zwar registriert, aber keinen Datenverlust festgestellt, für leichtsinnig.

Hoffen, dass es keiner merkt: Datenpanne bei der CDU

Freitag, 26. August 2011

Leider kann man den Umgang der CDU mit der berichteten Datenpanne nur so beschreiben. Zwei Jahre nach einer Datenpanne wurden heute die betroffenen Mitglieder darüber informiert, dass Ihre Daten – Nachname, eine interne Nummer und die E-Mail-Adresse – beim IT-Dienstleister der CDU, der Union Betriebs-GmbH entwendet wurden. Aber die Information erfolgte nicht nur erst zwei Jahre nach der Entwendung, sondern auch 14 Tage nach der Veröffentlichung der Daten im Internet.

Die Begründung für die 2-Jahres-Verspätung:

„Durch die Logfiles hatten wir Anhaltspunkte für einen Hackerangriff, wir waren uns aber nicht ganz sicher.“

Natürlich ist es peinlich, wenn der eigene Server offensichtlich gehackt wurde. Aber die „Kopf-in-den-Sand-Methode“ und das Versuchen des Todschweigens ist nicht der richtige Umgang mit Datenpannen.

Die Daten sind in der Kombination auf Grund der Datenquelle und der damit verbundenen Zusatzeigenschaft „CDU-Mitglied“ sicherlich als personenbezogene Daten besonderer Art i.S.d. BDSG anzusehen. Somit wäre zu überprüfen, ob ein Verstoß gegen §42a BDSG (Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten) vorliegt. Wobei in der von der CDU verschickten E-Mail  steht: „Heute müssen wir Sie darüber informieren, dass im August 2009 ein Hackerangriff auf unseren Web-Server stattgefunden hat.“ Und der erwähnte §42a BDSG ist erst zum 1.9.2009 in Kraft getreten. Und am 27.10.2009 war Bundestagswahl – die Veröffentlichung der Datenpanne wäre sicherlich besonders unangenehm gewesen. Der Leser wundert sich und würde sicherlich gerne einen Blick in die erwähnte Log-Dateien werfen.

Ist dieses Vorgehen sinnvoll? Und ist es ethisch?