Web-Sicherheit

August 1, 2011

GIS drohen nun möglicherweise Schadenersatzforderungen

Filed under: Allgemein — sebastiankuebeck @ 07:34
Tags: , , , , , , ,

Am 22. Juli 2011 wurde die Homepage des österreichischen GIS (Pendant zum deutschen GEZ) gehackt und 211.695 Datensätze mit Personenbezogenen Daten entwendet. Das GIS wollte zuerst nicht zugeben, wieviele Datensätze wirklich entwendet wurden, also drohte die Hackergruppe Anonymous Austria, die auf Twitter unter dem Account AnonAustria mit der Außenwelt kommuniziert,  dem GIS in einem Ultimatum, dass alle entwendeten Datensätze im Internet veröffentlicht würden, sollte das GIS die Öffentlichkeit nicht über das volle Ausmaß des Vorfalls informieren.  Das GIS lenkte schließlich ein und beugte sich den Forderungen der Hacker.

Laut diesem Artikel könnten dem GIS nun Schadenersatzforderungen drohen:

In Österreich dürfen – vereinfacht dargestellt – personenbezogene Daten nur gemäß den Bestimmungen des Datenschutzgesetzes (DSG) verarbeitet werden. Dieses sieht auch vor, dass derjenige, der die Daten verarbeitet (Auftraggeber), zumindest angemessene Datensicherheitsmaßnahmen ergreifen muss um die Daten, etwa vor unbefugtem Zugriff, zu schützen (§ 14 DSG). Für Schäden, die aus der Verletzung dieser Vorschriften entstehen, haftet der Auftraggeber.

Natürlich ist im Gesetz nicht definiert, was unter „angemessene Datensicherheitsmaßnahmen“ zu verstehen ist, aber wenn man bedenkt, wie einfach die SQL-Injection-Schwachstelle, die zu dem Datendiebstahl geführt hat, aufzuspüren und auszunutzen war und dass Anonymous Austria das GIS schon vor Monaten über das Problem informiert hat, stehen die Chance gut, dass man mit dem Argument, dass die Datensicherheitsmaßnahmen nicht ausreichend waren, vor Gericht durchkommt.

Der Hinweis in dem Artikel auf die Verschlüsselung ist nur teilweise Richtig, da es bei einem so gravierenden Programmierfehler (und darum handelt es sich letztlich) möglicherweise gar nicht nötig gewesen wäre, eine etwaige Verschlüsselung zu knacken, denn man hätte die Webanwendung selbst dazu missbrauchen können, die Daten zu entschlüsseln. Ein großes Problem ist natürlich die Beweisbarkeit, denn der Betroffene muss beweisen, dass Daten für eine Straftat Daten verwendet wurden, die vom GIS stammen und das ist in der Praxis sehr schwierig. Schließlich enthalten Personenbezogene Daten keine „Herkunftsbezeichnung“ und es kommen im Internet permanent personenbezogene Daten abhanden, also lässt sich meist erst ein Zusammenhang herstellen, wenn es zu einer Häufung von Strafdaten im Anschluss an einen Datendiebstahl kommt und die Opfer in beiden Fällen übereinstimmen.

Im Prinzip könnten auch die Behörden Verwaltungsstrafen bis zu 10.000 Euro verhängen, da dieser Betrag in den meisten Fällen jedoch deutlich unter dem liegt, den die meisten Unternehmen für eine deutliche Verbesserung der Datensicherheit investieren müssten, ist es wenig wahrscheinlich, dass diese Strafandrohung zu einer Verbesserung der Datensicherheit in Unternehmen führen würde.

1 Kommentar »

  1. […] Online-Shop zu Schaden, muss der Shop-Betreiber unter Umständen Schadenbersatz leisten (siehe auch GIS drohen nun möglicherweise Schadenersatzforderungen). Like this:LikeSei der Erste, dem dieser post gefällt. Hinterlasse einen […]

    Pingback von Auch zahlreiche deutschsprachige osCommerce-Shops verseucht « Web-Sicherheit — August 16, 2011 @ 08:47 | Antwort


RSS feed for comments on this post. TrackBack URI

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Bloggen auf WordPress.com.

%d Bloggern gefällt das: