The Turkey Curse
fukamis terror chatroom

Informationspflicht von Unternehmen und Behörden bei Datenpannen

Boomtime, 32nd Chaos, 3173.

Bereits vor dem [23C3][23c3] haben wir im Club darüber diskutiert, ob eine Informationspflicht von Unternehmen und Behörden bei Datenpannen nicht eine gute und wichtige Sache wäre. Im Kern sollte es darum gehen, bei Servereinbrüchen, Phishing-Problemen oder ähnlichem die Kunden bzw. User eines Systems davon in Kenntnis zu setzen. In den meisten Fällen werden solche Vorfälle in Deutschland abgetan als “Die Daten unserer Kunden waren nie in Gefahr” (falls es überhaupt bei solchen Vorfällen eine Verlautbarung gibt) oder anderer Larifari vom Stapel gelassen. Eigentlich ist es aber nicht hinzunehmen, dass Unternehmen, die mit kritischen persönlichen Daten wie z.B. Wohn- und Emailadressen, oder Konto-, Kreditkarten- oder Sozialversicherungsinformationen umgehen und einer Sicherheitsschwankung unterlagen, keinerlei Verpflichtung haben, irgendwem darüber Rechenschaft abzulegen.

Das Hauptproblem ist, dass solche Vorgänge mithin nur als PR-Gau gesehen werden, aber die Verantwortung für eventuell entstehende Probleme der betroffenen Nutzer nur eine nebengeordnete bis gar keine Rolle spielen. Dabei nimmt die Möglichkeit von Identitätsdiebstahl auch bei uns in ungeheurem Maße zu. Zudem denke ich, dass ein “normaler” Umgang mit solchen Tatschen in Zukunft eine immer wichtigere Rolle spielen wird, denn Sicherheitsschwankungen wird es immer geben — Antiterror-Gesetzen, Vorratsdatenspeicherung oder anderen fragwürdiger “Anti-Hacker-Gesetzen” zum Trotz. Deswegen muss ein standartisierter Weg gefunden werden, wie Unternehmen und Behörden in solchen Fällen nach Bekanntwerden solcher Probleme zu handeln haben.

In den USA gibt es mit [DLDOS][DLDOS] (Data Loss Database - Open Source) von [attrition.org][attrition.org] einen Ansatz, der aus meiner Sicht den richtigen Weg weisst. Dort werden Daten über Sicherheitsschwankungen gesammelt und als handliche [CSV-Datei][dataloss csv] zum Download angeboten. Dieses Projekt kann sich allerdings beispielsweise auf den kafifonischen [Security Breach Information Act][Security Breach Information Act] stützen, der Unternehmen unter Androhung empfindlicher Strafen dazu verpflichtet, Angriffe auf ihre Systeme oder Schlampereien durch Verlust von Mitarbeiterlaptops zu melden.

Während der Recherche hat mir 0i dankenswerter Weise eine interessante Information zukommen lassen. Der Bundestag hat in seiner [54. Sitzung][54. Sitzung] bereits am 28. September 2006 über den vom Bündnis 90/Die Grünen gestellten Antrag [Informationspflicht für Unternehmen bei Datenschutzpannen einführen][Antrag] behandelt, der in die entsprechenden Fachausschüsse verwiesen wurde.

Ich hoffe, dass dort was Gescheites raus kommt. Ansonsten gibt es den Plan, solche Vorfälle einfach selbst zu publizieren. Wie so etwas aussehen kann, das wollen wir auf einer neu gestarteten [Mailingliste][datalossliste des c4] des [C4][c4] zum Thema diskutieren.

Hier noch mal alle Links zum Thema in der Übersicht:

* [Stenografischer Bericht][54. Sitzung] von der 54. Sitzung des Deutscher Bundestags am 28. September 2006(ab Seite 202 geht’s um den entsprechenden Antrag)
[54. Sitzung]: http://dip.bundestag.de/btp/16/16054.pdf
* [Antrag][Antrag] der Abgeordneten Silke Stokar von Neuforn und der Fraktion Bündnis 90/ Die Grünen “Informationspflicht für Unternehmen bei Datenschutzpannen einführen”
* [Security Breach Information Act][Security Breach Information Act]
* [DLDOS][DLDOS] (Data Loss Database - Open Source), Dataloss [RSS Feed][Dataloss RSS] und Dataloss [CSV][dataloss csv] von attrition.org
* [Dataloss Mailingliste][datalossliste des c4] des Chaos Computer Club Cologne

[23c3]: https://events.ccc.de/congress/2006
[Security Breach Information Act]: http://info.sen.ca.gov/pub/01-02/bill/sen/sb_1351-1400/sb_1386_bill_20020926_chaptered.html
[DLDOS]: http://attrition.org/dataloss/dldos.html
[attrition.org]: http://attrition.org
[dataloss csv]: http://attrition.org/dataloss/dataloss.csv
[54. Sitzung]: http://dip.bundestag.de/btp/16/16054.pdf
[Antrag]: http://dip.bundestag.de/btd/16/018/1601887.pdf
[Dataloss RSS]: http://attrition.org/rss/attrition_dataloss.rss
[datalossliste des c4]: https://mail.koeln.ccc.de/cgi-bin/mailman/listinfo/dataloss
[c4]: https://koeln.ccc.de/

---

1 Comment »

  1. Es gibt noch unter http://www.privacyrights.org/ar/ChronDataBreaches.htm eine “Chrono of Data Breaches”, die auch recht Informativ ist.

    Hope that helps…

    HonkHase

    Comment by HonkHase — Pungenday, 48th Chaos, 3173. @ 84937

RSS feed for comments on this post.

Leave a comment



"A child of five would understand this. Send someone to fetch a child of five." - Groucho Marx

The Turkey Curse is powered by WordPress, template idea by Priss

Entries (RSS) and Comments (RSS).
Generated in 0.132 seconds.