Bereits vor dem 23C3 haben wir im Club darüber diskutiert, ob eine Informationspflicht von Unternehmen und Behörden bei Datenpannen nicht eine gute und wichtige Sache wäre. Im Kern sollte es darum gehen, bei Servereinbrüchen, Phishing-Problemen oder ähnlichem die Kunden bzw. User eines Systems davon in Kenntnis zu setzen. In den meisten Fällen werden solche Vorfälle in Deutschland abgetan als “Die Daten unserer Kunden waren nie in Gefahr” (falls es überhaupt bei solchen Vorfällen eine Verlautbarung gibt) oder anderer Larifari vom Stapel gelassen. Eigentlich ist es aber nicht hinzunehmen, dass Unternehmen, die mit kritischen persönlichen Daten wie z.B. Wohn- und Emailadressen, oder Konto-, Kreditkarten- oder Sozialversicherungsinformationen umgehen und einer Sicherheitsschwankung unterlagen, keinerlei Verpflichtung haben, irgendwem darüber Rechenschaft abzulegen.

Das Hauptproblem ist, dass solche Vorgänge mithin nur als PR-Gau gesehen werden, aber die Verantwortung für eventuell entstehende Probleme der betroffenen Nutzer nur eine nebengeordnete bis gar keine Rolle spielen. Dabei nimmt die Möglichkeit von Identitätsdiebstahl auch bei uns in ungeheurem Maße zu. Zudem denke ich, dass ein “normaler” Umgang mit solchen Tatschen in Zukunft eine immer wichtigere Rolle spielen wird, denn Sicherheitsschwankungen wird es immer geben — Antiterror-Gesetzen, Vorratsdatenspeicherung oder anderen fragwürdiger “Anti-Hacker-Gesetzen” zum Trotz. Deswegen muss ein standartisierter Weg gefunden werden, wie Unternehmen und Behörden in solchen Fällen nach Bekanntwerden solcher Probleme zu handeln haben.

In den USA gibt es mit DLDOS (Data Loss Database - Open Source) von attrition.org einen Ansatz, der aus meiner Sicht den richtigen Weg weisst. Dort werden Daten über Sicherheitsschwankungen gesammelt und als handliche CSV-Datei zum Download angeboten. Dieses Projekt kann sich allerdings beispielsweise auf den kafifonischen Security Breach Information Act stützen, der Unternehmen unter Androhung empfindlicher Strafen dazu verpflichtet, Angriffe auf ihre Systeme oder Schlampereien durch Verlust von Mitarbeiterlaptops zu melden.

Während der Recherche hat mir 0i dankenswerter Weise eine interessante Information zukommen lassen. Der Bundestag hat in seiner 54. Sitzung bereits am 28. September 2006 über den vom Bündnis 90/Die Grünen gestellten Antrag Informationspflicht für Unternehmen bei Datenschutzpannen einführen behandelt, der in die entsprechenden Fachausschüsse verwiesen wurde.

Ich hoffe, dass dort was Gescheites raus kommt. Ansonsten gibt es den Plan, solche Vorfälle einfach selbst zu publizieren. Wie so etwas aussehen kann, das wollen wir auf einer neu gestarteten Mailingliste des C4 zum Thema diskutieren.

Hier noch mal alle Links zum Thema in der Übersicht:

• Stenografischer Bericht von der 54. Sitzung des Deutscher Bundestags am 28. September 2006(ab Seite 202 geht’s um den entsprechenden Antrag)
• Antrag der Abgeordneten Silke Stokar von Neuforn und der Fraktion Bündnis 90/ Die Grünen “Informationspflicht für Unternehmen bei Datenschutzpannen einführen”
• Security Breach Information Act
• DLDOS (Data Loss Database - Open Source), Dataloss RSS Feed und Dataloss CSV von attrition.org
• Dataloss Mailingliste des Chaos Computer Club Cologne