Sony und Co: Verstöße gegen Datensicherheit und Datenschutz müssen weh tun!

Wir haben mal als „Digitale Gesellschaft“ einen kurzen Forderungskatalog zu den aktuellen Datenlecks von Sony & Co aufgestellt, was aus Nutzersicht getan werden muss, um Datenschutz und Datensicherheit zu verbessern: Sony und Co: Verstöße gegen Datensicherheit und Datenschutz müssen weh tun!

Hier ist die Kurzfassung, hinter dem Link die Langfassung:

Vier Forderungen, die perspektivisch vielleicht etwas mehr Datensicherheit bringen könnten:

1. Beweisumkehr bei Datenschutz-GAU
2. Sammelklagen für Verbraucher und Verbraucherverbände ermöglichen
3. Datendiebstahlsanzeige verschärfen
4. Datenbenachrichtigung einführen („Kleiner Datenbrief“)

19 Ergänzungen

  1. Die Punkte sind sinnvoll, aber mich stört der kleine Datenbrief, der wiederum eine ganze Kette von Problemen schafft. Man denke nur daran, dass die postalische Anschrift oder die Faxadresse nun jemand anderes „gehört“.

    Ich merke nun mal auch etwas anderes an: Ist es gewollt, dass die „Digitale Gesellschaft“ so sehr mit netzpolitik.org verwoben wird, dass man beides kaum mehr unterscheiden kann? Sozusagen netzpolitik.org als Sprachrohr der Digiges?

    Wäre es nicht besser Standpunkte, Vorschläge und Ausarbeitungen der „Digitalen Gesellschaft“ auch auf deren Seite zu veröffentlichen, dahin zu verlinken und dort zu diskutieren? In meinen Augen wäre es besser, um klarer werden zu lassen, von wem das alles kommt und um der Digiges ein klareres und scharfes Bild zu geben, wofür sie steht.

    1. @Melebert: wir experimentieren noch damit rum, wie wir hier mit Pressemitteilungen umgehen. Seit ein paar Jahren verfahren wir oft auch schon mit Pressemitteilungen des AK-Zensur, des AK-Vorrat oder des CCC so, dass wir die auch in Volltext hier nochmal spiegeln. Wenn man selbst beteiligt ist, fällt es einem schwer, nochmal das ganze „journalistisch“ aufzubereiten. Andererseits können wir hier mit einem Plaintext viel mehr Aufmerksamkeit auf eine Meldung liefern, denn nicht jeder klickt weiter.

      Aber wir nehmen Deinen Hinweis nochmal auf und suchen noch ein passendes Procedere.

      1. Ich frage mich ja immer noch, wie der gemeine Politiker dann unterscheidet, dass nicht wir alle diese Forderungen aufstellen. Ein Disclaimer bei Pressemeldungen wäre daher schön.

        Und warum macht ihr nicht erstmal ein Etherpad zum Thema auf und holt euch Input? Klar, ist nicht so PR-like, aber die digitale Gesellschaft kennt nunmal kein plattes PR-Zeugs.

  2. Ich als Kleinunternehmer wäre bei einem Datenleck Pleite und könnte Konkurs anmelden. Selbst die Kosten für eine Bundesweite Tageszeitungsanzeige wäre zu hoch.
    In den Maßnahmen Katalog gehört auch unbedingt die Risokoverschiebung, d.h. ich meinen Hoster bzw. den Softwarehersteller verantwortlich machen kann. Damit wären die Softwarehersteller gezwungen Ihre Produkte sicherer zu machen (ssl etc.).

    Nicht vergessen, wenn eine Zahlung gelaufen ist können gerade Bestellhistorie, Name, Anschrift und Zahlungsdaten nicht gelöscht werden!

    1. Im Papier steht: „Wenn eine Vielzahl Fälle betroffen ist, können Firmen derzeit an Stelle einer individuellen Benachrichtigung über zwei halbseitige Anzeigen in bundesweit erscheinenden Tageszeitungen ihrer Pflicht im Sinne des Gesetzes nachkommen.
      Das ist keine Transparenz sondern eine versteckte Zeitungssubvention.“

      Klingt jetzt eher so, als ob die Digitale Gesellschaft genau Anzeigen in Tageszeitungen genau nicht als Möglichkeit einer adäquaten Benachrichtung betrachtet.

  3. Wenn ich Punkt 1 richtig verstehe, dann ist es danach möglich, jede Firma anzuschreiben in der Hoffnung, dass mindestens eine nicht ihre Unschuld an dem Datenmissbrauch beweisen kann.

    1. @Nils: Wer kein Datenleck hatte (Benachrichtungspflicht, punkt 3), den könnte man logischerweise schlecht haftbar machen.

      1. Auf Dauer werden das sicherlich einige Firmen sein. Zumal ihr keine Verjährungsfrist (keine Ahnung ob der Begriff hier passt) für Datenlecks fordert. Also würde ich nicht jede Firma anschreiben, sondern nur die, die irgendwann einmal ein Datenleck gemeldet haben.

        Eventuell würde es ja genügen, dem Verbraucher das Beweisen zu vereinfachen. Zum Beispiel indem dieser für jeden Dienst, bei dem er sich anmeldet, eine eindeutige Kennung angibt, die für eine Abbuchung notwendig ist. Dadurch könnte, wenn später über diese Nummer eine unrechtmäßige Abbuchung stattfindet, die „schuldige“ (siehe #5: manchmal ist es nicht zu verhindern) Firma ausfindig gemacht werden. Sicherlich ist diese Idee nicht ausgereift, aber das ist die Richtung, die ich bevorzugen würde.

  4. Also die Beweisumkehr halte ich auch für gefährlich. Aus Verbrauchersicht ist das sicher super und toll. Aber für kleine Unternehmen ist das eigentlich nicht machbar. Damit würde man finanzschwache Firmen aus dem Netz drängen und damit die Vielfalt einschränken.
    Mal davon abgesehen: Wie kann man den bitte beweisen das man kein Datenleck hatte? Mit 100 % Wahrscheinlickeit ist das doch garnicht möglich.

  5. Ich möchte anmerken das man kein Netzwerk so schützen kann, das niemand eindringen kann, dies ist einfach in der heutigen Zeit nicht möglich. Solange sich User über das Netz einloggen können ist auch immer ein Angriff durch Hacker drin. Ich würde daher noch einen Punkt aufnehmen , das man ab einer bestimmten Anzahl an Usern in einer Datenbank, eine Art Live Monitoring einführen muss um Angriffe schnellsten fest zu stellen.
    Ich möchte mal eine Frage aufwerfen: Warum nur das Opfer „Sony“ verklagen und nicht auch den Täter ? Härtere Strafen für Häcker. Über eine Klage gegen Sony sollte man nachdenken wenn dort fahrlässig gehandelt wurde. Um dies zu überprüfen muss bei Datendiebstahl eine unabhänige Behörde den Fall „mit“untersuchen.

    Im Moment geht mir alles zu sehr „nur“ gegen Sony. Ich möchte nicht wissen wie lange die Hacker es versucht haben oder wieviele es überhaupt schon probiert haben an die Daten zu kommen. Je größer die Datenbank desto aufmerksamer werden die Hacker doch auf sowas.

    Ich bin auch Opfer in diesem Fall und meine Anzeige geht gegen unbekannt und nicht gegen Sony.

  6. Darüber habe ich in den letzten Tagen auch nachgedacht und ich kam letztendlich zu demselben Schluss. Es muss so richtig weh tun, die Firma darf zwar nicht pleite gehen aber sie muss daran zu knabbern haben. Nur so ist es möglich, Firmen zu animieren, mal darüber nachzudenken wieviele Daten abgefragt werden, wo und wie sie gespeichert werden.

    Man könnte zum Beispiel auch die Strafhöhe daran orientieren, wieviele Daten ein Datensatz enthält, damit zum Beispiel die Frage aufgeworfen wird, ob es zum Beispiel wirklich nötig ist, in dem Kontext das Geburtsdatum zu speichern oder ob es sinnvoll sein könnte für Kredikarten/Bankinformationen eine separate und extra geschützte Datenbank zu verwenden, so dass der normale User nur die letzten fünf Stellen seiner Kreditkarte sieht. Mehr steht einfach in dieser „leichter“ erreichbaren Datenbank einfach nicht drin.

    Darüberhinaus könnte man bei einem Datenleck positiv bewerten, wenn Bestandsdaten nach einer bestimmten Zeit (Online-Shop, Benutzer hat die letzten zwei Monate nichts mehr bestellt —> Daten verschoben) in eine nicht vom Netz erreichbaren Datenbank verschoben werden.

    Das sind nur zwei „hingerotzte“ Gedanken, die nur die Richtung aufzeigen sollen, dass die Firmen sich mehrmals darüber Gedanken machen sollen, wie sie die Daten schützen.

  7. Sorry, aber die Forderungen sind m. E. idiotisch. Ein Unternehmen ist immer bemüht, seine Daten zu schützen, weil es einfach keine Werbung ist, wenn man 100 Mio. Datensätze verliert. Informationspflicht an den Kunden und evtl. noch an die Öffentlichkeit, ja – damit kann ich leben. Von mir aus auch Sammelklagen, aber Du kannst kein System 200% wasserdicht machen. Geht nicht! Sony galt jahrelang als das sicherste System überhaupt, aber gegen jeden Fehler kann man sich nicht schützen. Ausserdem hat Sony in meinen Augen auch richtig reagiert – System sofort offline, Sachverhalt klären. Wenn Sony gesagt hätte, ja wir hatten da ein Problem, dass wir aber nicht verifizieren können, hätte denen doch keiner mehr geglaubt, wenn die gesagt hätten „nee, war doch nix“.

    Ein Unternehmen kann den Schaden auch in den meisten Fällen gar nicht abschätzen, weil sich Hacker selten anmelden und sagen „wir haben Datensätze XY gekapert und machen damit … “ Eine Beweislastumkehr (hallo, Rechtsstaat!?) bewirkt nur den Todesstoß für viele kleine Unternehmen. Wenn z. B. Bankdaten verschwinden und es entsteht wirklich ein Schaden dann kann ein Unternehmen nicht seine Unschuld beweisen, wie denn? Die Bankdaten waren ja evtl. auch woanders hinterlegt.

  8. Sollte man nicht erstmal diskutieren, bevor man Forderungen in den Raum stellt? Zumal ja Daten nie 100% geschützt werden können und solche Forderungen wieder mal eher kleineren Anbietern schaden dürfte. Wollen wir es wirklich noch schwerer machen, hier in Deutschland mal was auf die Beine zu stellen? Selbst für nicht kommerzielle Projekte hab ich ja jetzt schon wenig Lust dazu. Wenn ich dann noch Datenbriefe verschicken darf oder ich durch einen Hackerangriff direkt in Grund und Boden geklagt werde, warum sollte ich das noch tun?

    Ich würde eher sagen, dass wir uns daran gewöhnen sollte, dass so etwas passiert und daher überlegen sollten, wie man die Probleme aus solchen Vorkommnissen abmildern kann. Dies kann z.B. einfacher, unkomplizierter und automatischer Austausch von Kreditkarten sein, es könnte eine besser Authentifizierung sein (z.B. durch ePerso) und dergleichen mehr.

    Härtere Strafen werden es nicht bringen, da müsst ihr schon Internet(services) verbieten. Also bitte Plan B!

    1. Hm die Problematik mit kleineren UNternehmen ist sicherlich da. Aber wenn man deinen Vorschlag etwas weiter denkt (Plan B im weiteren Sinne), finde ich den alleine auch nicht sonderlich befriedigend.

      Wie wäre es, wenn die Regelungen erst ab einer gewissen größe greifen. Das macht Sinn und lässt sich mit einem Plan B kombinieren.

      Plan B alleine klingt mir zu sehr nach „post privacy“: Wir können nichts dagegen tun, also müssen wir zusehen wie wir damit leben.
      Ich glaube nicht.

      Jedoch muss hier das eine gar nicht das andere ausschließen.

  9. Wir haben mal als “Digitale Gesellschaft” einen kurzen Forderungskatalog zu den aktuellen Datenlecks von Sony & Co aufgestellt, […]
    Und ich dachte, das hier wäre netzpolitik.org …

      1. Aber sicher wissen die das. Steht ja auch dran. Markus als Teil eines „wir“ in Form der „Digitalen Gesellschaft“. Eigentlich einfach, oder?

        Disclosure: Ich habe gerade ein „Kinder Em-eukal“ gegen meinen Husten konsumiert. Selbstbezahlt.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.