Datensicherheit nach Hackerangriff – Das Problem sind die Nutzer selbst
Anfang Januar wurden Daten von rund tausend Politikern und Personen des öffentlichen Lebens auf Twitter veröffentlicht. Nachdem zunächst von Hackerattacken gesprochen und sogar über die Beteiligung ausländischer Geheimdienste spekuliert wurde, stellte sich heraus, dass es sich bei dem Angriff um so genanntes „Doxxing“ handelte: Das Veröffentlichen privater Informationen im Internet mit dem Ziel, betroffene Personen bloßzustellen. Bei dem Täter handelt es sich offenbar um einen 20-jährigen Schüler aus Hessen, der zwar computeraffin ist, die Daten aber wohl größtenteils aus öffentlich zugänglichen Quellen zusammengetragen hat.
Die in den Datensätzen enthaltenen Informationen, die nicht öffentlich zugänglich waren, wurden nach Aussage des Bundesamts für Sicherheit in der Informationstechnik (BSI) wohl durch den Einsatz von gestohlenen oder erratenen Passwörtern erlangt. Der anfangs so spektakulär anmutende Datendiebstahl zeichnet sich zum jetzigen Zeitpunkt der Ermittlungen also als zwar für die Betroffenen nicht weniger schädliche, aber dennoch vergleichsweise harmlose Tat eines Heranwachsenden ab.
Dessen ungeachtet ließen Forderungen der Politik nach schärferen Sicherheitsmaßnahmen und mehr Pflichten für Unternehmen nicht lange auf sich warten: Bundesjustizministerin Katarina Barley (SPD) forderte ein europaweit einheitliches IT-Sicherheitskennzeichen. Der neue Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber, forderte gar eine Pflicht für Unternehmen, „überhaupt die Chance einer sicheren Nutzung ihrer Dienste zu ermöglichen“, z. B. durch verpflichtende Vorgaben zur Passwortstärke.
„Der reflexhafte Ruf nach schärferen Gesetzen ist aber genauso vorhersehbar wie fehlgeleitet“, meint Christian Runte, IT-Rechtsexperte und Partner der Kanzlei CMS. „Das Problem sind nicht zu schwache Gesetze, sondern der Faktor Mensch.“ Im vorliegenden Fall stammte ein bedeutender Teil der Daten aus öffentlich zugänglichen Quellen. Allem Anschein nach war das Problem weniger die ausgeklügelte Methode des Angreifers, sondern – jedenfalls zum Teil – die mangelnde Sensibilität und Vorsicht der Internetnutzer selbst. Somit könnten schärfere Gesetze ohnehin nur wenig ausrichten.
„Sinnvoll erscheint es aber, von Unternehmen die effektive Umsetzung bereits jetzt vorgeschriebener Sicherheitsmaßnahmen zu verlangen“, so Runte weiter. „Hier sind vor allem die Anforderungen der DSGVO an die Implementierung technischer und organisatorischer Maßnahmen, die dem Risiko der jeweiligen Datenverarbeitung angemessen sein müssen, zu beachten.“ Zudem sollten Maßnahmen ergriffen werden, um das Bewusstsein für das Thema Datenschutz und Datensicherheit im Unternehmen zu stärken. Auch der Grundsatz „Privacy by Design“, also die datenschutzfreundliche Konzipierung von Produkten, sollte von Unternehmen ernst genommen werden. „Neben der Verpflichtung der Unternehmen bleibt aber vor allem eins zu beachten“, so der Datenschutzrechtler. „Für die Entscheidung, wie viele Daten wir öffentlich preisgeben und wie wir diese schützen, ist am Ende jeder selbst verantwortlich.
ARTIKEL DIESER AUSGABE
Nach Abstimmungspleite in London – Banges Warten auf „harten“ Brexit
Am 15.1.19 hat sich das britische Parlament gegen das mit der EU ausgehandelte Austrittsabkommen ausgesprochen. Sollte bis zum 29.3.19 nicht doch noch eine Einigung erzielt oder die Verhandlungsfrist... mehr
Audi bringt mit Linklaters mehr Unterhaltung auf die Strasse
„Sind wir bald da?“ Geht es nach Autobauer Audi soll diese Frage gelangweilter Beifahrer schon bald der Vergangenheit angehören. Über seine Tochter Audi Electronics Venture hat Audi... mehr
Baker McKenzie und FGvW begleiten Fusion von Mayersche und Thalia
Die beiden familiengeführten Sortimentsbuchhändler Mayersche Buchhandlung und Thalia gehen künftig gemeinsame Wege und schließen ihr Geschäft zusammen (s. a. PLATOW Brief v. 11.1.).... mehr
Saint-Gobain greift mit Taylor Wessing bei Kaimann zu
Der französische Industriekonzern Saint-Gobain hat sämtliche Geschäftsanteile an Kaimann, einen international tätigen Hersteller von elastomeren Dämmstoffen mit Sitz im nordrhein-westfälischen... mehr
MAC-Klauseln – Gerichte verlangen klare Absprachen
Bei M&A-Transaktionen liegen zwischen Vertragsschluss und Vollzug in der Regel längere Zeiträume. Um mögliche schwerwiegende Ereignisse oder Veränderungen in dieser Zeit berücksichtigen... mehr
Geoblocking-Verordnung – Shopping ohne Grenzen
Der Europäische Gesetzgeber hat mit der seit dem 3.12.18 anwendbaren Geoblocking-Verordnung (VO EU Nr. 2018/302) einen weiteren Schritt in Richtung eines Europäischen Binnenmarktes ohne... mehr
LPA und GGv schliessen deutsche Büros zusammen
Die französische Kanzlei LPA und die deutsch-französische Sozietät GGV Grützmacher Gravert Viegener haben zum Jahreswechsel ihre deutschen Büros zusammengelegt. mehr
Pinsent Masons plant neuen Standort in Frankfurt mit bekanntem Gründungsteam
Pinsent Masons plant die Eröffnung eines dritten Büros in Deutschland. Am neuen Standort in Frankfurt werden Mandanten dann schwerpunktmäßig in den Bereichen Technologie, Energie,... mehr