Thought Leadership
Der Chaos Computer Club hat eine Cloud-Plattform für Gastronomen untersucht, mit der auch Corona-Daten erhoben werden. Dabei hat der CCC eine Liste mit 87.000 Einträgen gehackt. Hier ein Kommentar von Boris Cipot, Synopsys.
“Es kommt oft genug vor, dass Cloud-Dienste schlecht konfiguriert sind oder unzureichend gewartet werden. Die Folgen sind bekannt: gestohlene Daten, kompromittierte Systeme und besorgte Nutzer. Beunruhigend genug, aber es gibt noch ein anderes Problem. Die Frage danach, wer der Dateneigentümer ist und wie man verantwortungsbewusst mit den anvertrauten Daten umgeht. Das Problem nimmt schnell weit größere Ausmaße an, als erwartet: der Diensteanbieter übernimmt keine Verantwortung für die Datenverarbeitung, obwohl er die Speicherfunktionalität liefert, der Nutzer der Dienstleistung, im konkreten Fall die betroffenen Restaurants, kümmert sich nicht genug um die Sicherheit der Daten – oftmals wird das Problem erst gar nicht als solches erkannt. Nicht jeder ist ein Sicherheitsexperte oder Datenschutzberater. Nicht jeder versteht sämtliche Aspekte der Technologie, die er verwendet, beziehungsweise, alle Aspekte, die mit der Nutzung einhergehen. Das Marketing solcher Services konzentriert sich verständlicherweise eher auf die unmittelbaren Vorteile.
Trotzdem sollten Service Provider ihre Nutzer über alle Aspekte aufklären, insbesondere was Anwender tun müssen, um die Datenschutzrichtlinien einzuhalten. Das würde ich unter einer optimalen Benutzerführung verstehen wollen. Ein anderer Punkt betrifft die Speicherung der Daten selbst. Selbst wenn dem Benutzer die Verantwortung für die Pflege der Daten obliegt, sollte der Dienstanbieter sie mit allen verfügbaren technischen Mitteln schützen. Einerseits um Datenschutzverletzungen im Vorfeld zu verhindern, andererseits, um die Daten im Falle einer Kompromittierung mittels Verschlüsselung abzusichern und für den Angreifer somit wertlos zu machen. Dienste sollten grundsätzlich ein höheres Datenschutzniveau haben als bisher üblich. Das könnten Funktionen sein wie das automatische Löschen von Daten oder eine Art Timer, bei dem der Nutzer selbst einstellen kann, wie lange die Daten überhaupt aufbewahrt werden sollen bevor sie automatisch gelöscht werden. Funktionen wie diese würden selbst zu einem Wettbewerbsvorteil werden. Und der Nutzer wäre “gezwungen” sich mit Sinn und Zweck der Aufbewahrungsrichtlinien auseinanderzusetzen.
Der Vorschlag des CCC übrigens, ein versiegeltes Behältnis zu nutzen, das nur bei Bedarf geöffnet und ansonsten vernichtet wird, wenn die entsprechende Richtlinie greift, ist eine ziemlich gute Idee. Vor allem ist sie von der üblichen technischen Nutzung und Eingriffen weit genug entfernt, um gegen Angriffe einigermassen immun zu sein.”
Boris Cipot, www.synopsys.com
