Warum wir bei Leaks nicht abstumpfen dürfen!

News

Ein weiteres Leak bei LinkedIn und ich habe nicht mal mit der Augenbraue gezuckt. Es scheint sie überall zu geben: Hier wurden Kundendaten öffentlich, da ein Angriff, der Datensätze in Millionenhöhe offenbarte, und dort ein Leak, ggf. mit anschließendem Kaufangebot in den einschlägigen Kreisen. Aber wir dürfen nicht abstumpfen.

Wieder ein Leak bei LinkedIn

Manche Unternehmen haben dabei die unschöne Freude, in kurzen Abständen mehrfach in der Presse zu glänzen. LinkedIn beispielsweise steht erneut in der Kritik, weil wieder Daten von Nutzer:innen in bisher ungeahnten Umfang zum Kauf im Netz zur Verfügung stehen. Schätzungen zu folgen sind von dem aktuellen Leak 700 Millionen User:innen betroffen. Bedenkt man, dass LinkedIn ca. 756 Millionen Nutzer:innen insgesamt zählen darf, kann man geradezu von einen „Totalschaden“ sprechen. Nachdem bereits im April ein Leak von 500 Millionen Datensätzen bekannt wurde, scheint bei LinkedIn ein nicht unerhebliches Problem zu bestehen. Wie genau die Daten ihren Weg in Hackerforen gefunden haben, ist bisher nicht geklärt.

Wer bemerkt es zuerst?

Leaks und Fehler in Software werden von einem breiten Spektrum an Expert:innen und Interessierten kritisch betrachtet und untersucht. Regelmäßig werden diese Sicherheitslücken selbst bzw. deren Brisanz erst durch Dritte erkannt und dann auch medienwirksam dargestellt. Dieses Vorgehen ist in vielerlei Hinsicht wünschenswert – erfahren Öffentlichkeit und Betroffene oft erst dadurch überhaupt von Mängeln und werden Unternehmen und Software-Entwickler zum Handeln gezwungen.

Besonders brisant werden solche Situation, wenn wie in der aktuellen pandemischen Lage Datenlecks bei Test- und Impfterminvergaben oder gar Testergebnissen gefunden werden. Es ist immer problematisch, wenn personenbezogene Daten für Unberechtigten verfügbar werden. Bei der Test- und Impfterminen können jedoch auch besondere Kategorien personenbezogener Daten, Art. 9 Abs. 1 DSGVO, in Form von Gesundheitsdaten betroffen sein. Regelmäßig wird ein Datenschutzvorfall i. S. v. Art. 33 DSGVO vorliegen. In Frage stehen dann neben dem Vorfall selbst insbesondere auch die Gründe, die hierzu geführt haben. Eigentlich sollen angemessene technische und organisatorische Maßnahmen der Verantwortlichen verhindern, dass es zu solchen Vorfällen kommt. Für die Unternehmen bedeutet das, dass nicht nur ihre Reputation durch das zunehmende Datenschutzbewusstsein der Bevölkerung stark getroffen wird, sondern es drohen auch empfindliche Bußgelder, gem. Art. 83 DSGVO.

Wer informiert hier wen?

Umso mehr irritiert, dass der Informationsfluss häufig nicht durch die verantwortlichen Unternehmen erfolgt. Vielmehr werden diese Lücken durch Dritte wie c’t oder auch den CCC publiziert. Für die Unternehmen kann das nur als Super-GAU bezeichnet werden. Nicht nur dass sie die Kommunikation aus den Händen geben und somit nicht steuern können, wie die Betroffenen und auch die Allgemeinheit die Vorgänge wahrnimmt. Es kommt auch die Frage auf, ob die Unternehmen tatsächlich erst durch diese Veröffentlichungen von den Problemen erfahren (was sicherlich nicht immer der Fall ist). Was sagt dies über den Stellenwert von Daten- und IT-Sicherheit in diesen Unternehmen aus? Darüber hinaus ist festzuhalten, dass die verantwortliche Stelle in bestimmten Fällen verpflichtet ist gem. Art 34 DSGVO Betroffene zu benachrichtigen. Grundsätzlich ist dieser Ansatz auch vorzugswürdig, weil so die Betroffenen von der „Quelle“ informiert werden und die Gefahr für Falschinformationen und ggf. weiteren Angriffen eingedämmt wird.

Einbindung der User:innen

Daten- und IT-Sicherheit ist Pflicht und Aufgabe der Unternehmen. Tatsächlich lässt sich aber mittlerweile beobachten, dass unerfahrene User:innen von Unternehmen mit einbezogen werden, sich zum Beispiel Software gewissenhaft anzuschauen und Ungereimtheiten an die Unternehmen zurückzumelden. Dass der einfachen Nutzer:in jedoch im Regelfall jegliche Expertise fehlt, um eine solche Einschätzung abzugeben, fällt unter den Tisch.

So wurden zum Beispiel Ärzte und Apotheker bei den Systemen zur Terminvergabe von Tests und Impfungen zu Rate gezogen. Selbstverständlich bestehen seitens dieser Berufsgruppe keine nennenswerten Kompetenzen zur Einschätzung der Sicherheit einer solchen Software. Zu Recht obliegt es der verantwortlichen Stelle, die Sicherheit der Verarbeitung gem. Art 32 DSGVO zu gewährleisten. Und da wir hier nicht von einem Bug im System reden, der den User:innen bei der Verwendung genervt auffällt, sondern von komplexen Sicherheitsmaßnahmen reden, verwundern diese Ansätze doch enorm.

Nicht abstumpfen!

Für den Umgang mit solchen Leaks ist es jedenfalls angezeigt, weiterhin achtsam zu bleiben und nicht abzustumpfen. Sicherheitslücken sind keine zu akzeptieren Nebenprodukte der Digitalisierung. Selbstverständlich ist niemand komplett davon ausgenommen, Opfer krimineller Machenschaften zu werden. Auch ist ein 100%iger Schutz nicht möglich. Aber welche Ausmaße, als Beispiel sei ein „Hackerangriff“ genannt, letztlich hat, liegt in der Macht der verantwortlichen Unternehmen. Die grundlegenden Probleme sind nicht neu: Mit „heißer Nadel gestrickte“, eigentlich unfertige Software, nicht an die Nutzung in der Praxis angepasste Einstellungen, Unbedarftheit beim Umgang mit sensiblen Daten – sprich, vermeidbare Fehler. Personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen zu schützen ist aber nicht nur eine Anforderung der ungeliebten DSGVO und „nice to have“. Vielmehr ist eine überlegte, sich anpassende IT-Sicherheitsstruktur eine grundlegende Voraussetzung im digitalen Zeitalter.

Update 01.07.2021

Gestern erreichte uns von der PR-Agentur, die LinkedIn betreut, nachfolgender Hinweis, den wir unserer Leserschaft natürlich nicht vorenthalten wollen:

„Aktuell ist die Untersuchung des Vorfalls noch nicht abgeschlossen. Jedoch scheint der veröffentlichte Datensatz ausschließlich öffentlich einsehbare Informationen zu enthalten, die von LinkedIn abgegriffen und mit Daten anderer Quellen kombiniert wurden. Es handelt sich nicht um ein LinkedIn Datenleck und unsere Untersuchung hat ergeben, dass keine privaten Mitgliederdaten von LinkedIn veröffentlicht wurden. Dieses sogenannte Scraping von Mitgliederdaten verstößt gegen unsere Nutzungsbedingungen und wir arbeiten ständig daran, unsere Mitglieder und ihre Daten zu schützen.“

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

5 Kommentare zu diesem Beitrag

  1. Hallo Frau Stoll,
    mal wieder ein hervorragender Beitrag, der den Finger in die offene Wunde legt, die bei viel zu vielen Firmen und Privatleuten schon seit Jahren blutet. Leider herrscht in weiten Teieln der Wirtschaft immer noch die Einstellung vor, dass 1. alles was nicht direkt zum Umsatz beiträgt, 2. Kaum jemand versteht, 3. nach Bürokratie oder Unproduktivität riecht, nicht sist, inda auch ur eine Minute oder ein überflüssiger EURO investiert werden muss. Ich beobachte diese Einstellung seit meinem Einstieg in die Unternehmens IT Ende der 80ger Jahre. In vielen Führungsetagen hat sich da noch nicht allzu viel geändert. Der 2. Punkt ist, dass es zuwenig Fachleute gibt, die das Thema Cybersicherheit nicht nur beherrschen, sondern den Entscheidern verständlich erklären können. An Mindset und Fachkräften besteht also noch gewaltiger Entwicklungsbedarf.

  2. Sofern man Data Scraping als eine Form eines Data Leaks ansieht – man kann im vorliegenden Fall noch nicht ausschließen, wie die Daten abgegriffen wurden – , ist das nach Facebooks interner Deutung in der Branche nun mal so üblich:

    „(…) Longer term, though, we expect more scraping incidents and think it’s important to both frame this as a broad industry issue and normalize the fact that this activity happens regularly.(…)“

    Quelle: businessinsider.com/facebook-pr-memo-data-scraping-leaks-2021-4

  3. Wer Texte schreibt, ist normalerweise an einem Feedback interessiert.
    Kurz und knapp: Ich breche das Lesen eines Textes ab, wenn gegendert wird, hier also auch.
    Mich stört es hauptsächlich, weil es mich vom eigentlichen Inhalt ablenkt.

    Daraus leitet sich weder ab, dass ich Menschen, die gendern, allesamt doof finde, noch dass ich diese zum Nicht-Gendern auffordere.
    Ich lese es einfach nicht. Nicht mehr, aber auch nicht weniger. In meinem Fall halt weniger :-)

    (Was sicher schade ist, weil ich auf dr-datenschutz.de immer gute Artikel gefunden habe. Mein Pech.)

    Falls mein Feedback unerwünscht ist: sorry für die Störung!

  4. Um auch der Gegenposition eine Stimme zu geben: Ich finde es gut und wichtig zu gendern!
    Und ich finde nicht, dass die minimal verbesserte Lesbarkeit, die durch den Verzicht auf die wenigen gendernden Buchstaben erreicht wird, es rechtfertigt, die Sichtbarkeit so vieler Menschen zu beschränken.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.