Verlorene Daten
Im Moment verlieren ja ständig irgendwelche Unternehmen Daten. Ganz groß in den letzten Wochen war natürlich der mehrfache Hack von Sony. Aber von den Sony-Hacks bin ich zum Glück nicht wirklich betroffen. Trotzdem regt das ganze natürlich zum Nachdenken an und so habe auch ich mir ein paar Gedanken gemacht. So sieht das bei mir z. B. ganz anders bei diversen kleinen und großen Online-Shops aus - hier bin ich tatsächlich direkt betroffen.
Ich habe schon früh angefangen für jede Webseite und vor allem jeden Shop eine eigene E-Mail-Adresse zu verwenden. So schreibe ich relativ klar die Domain in die E-Mail-Adresse, und bei Sonderaktionen, auch noch die Sonderaktion. Durch dieses Vorgehen war es mir bisher vor allem Möglich, ungewünschtem Datenhandel erfolgreich entgegen zu wirken. Kam an eine dieser E-Mail-Adressen Spam, konnte ich ein Auskunftsersuchen stellen, und eine Löschung meiner Daten verlangen. Das hat bisher ziemlich gut geklappt.
Das Problem ist nun, dass die Unternehmen - Absichtlich, oder Unabsichtlich, das mag ich nicht zu definieren - ihre Daten verlieren. Kriegt man dann nämlich Spam, so kriegt man nur zu hören, man sei gehackt worden, und es wurde Strafanzeige gestellt. Selbstverständlich sind die Kreditkarten-Daten davon nicht betroffen, und es tut einem ja total leid. Um sicher zu gehen, wurden die Daten jetzt gelöscht, und wir passen auch zukünftig noch besser auf.
Das ganze wirft für mich aber Fragen auf, die ich noch nicht beantworten kann. Fragen, die ich vielleicht niemals beantworten werde, und vielleicht auch einfach unbeantwortet lassen sollte! Fragen wie diese:
Wenn ein Unternehmen seine Daten illegal verkauft, kann es sich dann mit einer Anzeige raus reden? Ein vom Nutzer nicht genehmigter Verkauf der Daten wird wohl kaum in offiziellen Büchern auftauchen, und kann auch von einzelnen Mitarbeitern verursacht worden sein! Aber reicht das als Rechtfertigung? Vielleicht ist auch nur ein einzelner der Sündenbock? Wer hat denn zugelassen, dass meine Daten abhanden kommen konnten?
Womit wir beim zweiten Punkt währen. Ich selber arbeite nun ja auch in der IT und bin in gewissem Rahmen für die Sicherheit mit verantwortlich! Wie kann ich nun die mir anvertrauten Daten sichern? Ich darf ja mein eigenes Netzwerk nur bedingt auf Sicherheitslücken testen! Aber habe ich dann nicht automatisch einen Wissensnachteil gegenüber ausländischen Dritten?
Wie kann ich diesen Wissensnachteil wieder ausbügeln, wenn es um wirklich kritische Daten geht? Wie kann ich z. B. digitale Geschäftsbriefe sichern, wenn ein Dritter auf das System Zugriff hat, auf dem die Daten im Klartext verarbeitet werden?
Daraus folgert sich im Endeffekt die Frage: Wer haftet für gestohlene Daten? Bei den bisher verlorenen Daten von mir handelt es sich meist um einen Namen und eine einmalige E-Mail-Adresse. Mit dem Verlust kann ich noch gerade so leben! Aber was passiert, wenn meine Kreditkarten-Daten oder andere wirklich relevante Daten abhanden kommen? Wer haftet z. B. dafür, wenn ich mal irgendwann den privaten Schlüssel meine digitale Signatur verliere? Oder noch besser, wenn Dritte diesen Schlüssel verlieren? Eine Signatur, die bald jeder deutsche Bundesbürgen haben kann und für manche Dinge sogar jetzt schon, aber mindestens irgendwann braucht? Eine Signatur die zweifelsfrei sicher stellen soll, dass ich etwas ausgelöst habe?
