Wie SPIEGEL-ONLINE berichtet, hat das amerikanische FBI anlässlich einer Razzia in einem Rechenzentrum mehrere Server beschlagnahmt und damit diverse Websites versehentlich vom Netz genommen.
Der Inhalt im Überblick
Die Großen gecrackt
Eigentlich war das FBI lediglich auf der Suche nach einem einzigen, ganz bestimmten Server, nahm aber stattdessen gleich mehrere Serverschränke mit. Der Chef der betroffenen Webhosting-Firma mutmaßte diesbezüglich, dass dem FBI wohl der Unterschied zwischen Serverschränken, in welchem mehrere Server untergebracht sind und einzelnen Servern unklar gewesen sei. Solch Skurilität erinnert ein wenig an Loriots Einkaufstouren in „Pappa ante Portas“ und den Satz
Mein Name ist Lohse, ich kaufe hier ein.
Hintergrund der Razzia waren Ermittlungen im Zusammenhang mit der Hackergrupper LulzSec. Diese hatten zuvor die CIA und den US-Senat attackiert sowie 26.000 Account-Daten von Porno-Kunden ins Netz gestellt.
LulzSec legt sich tatäschlich immer wieder mit US-Behörden an. Zuletzt veröffentlichte LulzSec vertrauliche Informationen (E-Mails, Bilder, Adressdaten, Dienstanweisungen und interne Bekanntmachungen) des Department of Public Safety um gegen die harten Einwanderungskontrollen in Arizona zu protestieren.
Im Fadenkreuz der Cracker
Tatsächlich scheint sich Hacking aus Protestgründen gerade bei jüngeren Leuten zu etablieren. Sind dann noch genügend „Know-How“, finanzielle Ressourcen und Durchhaltevermögen vorhanden, so wird es für Unternehmen, die in das Visier von Hackergruppen geraten sind, gefährlich.
Unternehmenspflichten
Das Bundesdatenschutzgesetz nennt in § 9 BDSG eine Reihe von technisch-organisatorischen Maßnahmen zum Schutz personenbezogener Daten, welche natürlich reflexartig auch reine Unternehmensdaten mitschützen.
Absolute Sicherheit gibt es bereits aufgrund der sich ständig weiterentwickelnden Technik nicht, aber die Schwelle kann hoch angesetzt werden. Sind allerdings die technisch-organisatorischen Maßnahmen nicht ausreichend, so kann die zuständige Aufsichtsbehörde eine Untersagungsverfügung treffen (§ 38 Abs. 5 Satz 2 BDSG), was für das betroffene Unternehmen einem Stillstand gleichkommen dürfte.
Gehen zudem besonders sensible Daten, wie z.B. Bankverbindungsdaten im Falle von Sony, verloren, so statuiert § 42a BDSG eine Informationserpflichtung (sog. Security-Breach-Notification) gegenüber den Betroffenen und der zuständigen Aufsichtsbehörde. Schlimmstenfallskann dies durch Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen geschehen. Ein Verstoß gegen diese Informationsverpflichtung kann mit einem Bußgeld von bis zu 300.000,- EUR geahndet werden (§ 43 Abs. 2 Nr. 7 und Abs 3 BDSG).
Jemand der sich mit Ihren datenschutzrechtlichen Pflichten auskennt, ist Ihr betrieblicher Datenschutzbeauftragter.