Das komplette Melderegister Österreichs stand ungeschützt im Internet. Wären die Daten angemessen verschlüsselt gewesen, hätte diese Panne keine großen Folgen gehabt.
Schaut man zurück, lief dieser Skandal ab, wie viele: ein Dienstleister mit vertraglich versprochenem Datenschutzniveau bricht der Vertrag, indem es das Niveau nicht erfüllt. In diesem Fall waren die Daten schlichtweg gar nicht geschützt; kein Benutzername, kein Passwort, keiner Zugangsbeschränkung von außen. Es war wie Dagoberts Geldspeicher ohne Türe: wer hineingegangen wäre, hätte das Geld gesehen und konnte alles mitnehmen.
Es bedurfte also nicht einmal der Kompetenzen von HackerInnen, um an die Daten zu gelangen. Die Behörde, die den externen Dienstleister beauftragt hatte, hat wie üblich jede Schuld von sich gewiesen. Hätte sie früher zugegeben, dass es sich um ihre Daten handelt, wäre das Kind aber trotzdem bereits in den Brunnen gefallen gewesen.
Natürlich waren diese Prozessparameter katastrophal, juristisch indiskutabel und fahrlässig kriminell. Vor allem das unterirdisch schlechte Niveau des IT-Dienstleisters hat diesen GAU erst möglich gemacht. Darum soll es hier aber nur als Aufhänger gehen; mehr dazu siehe Quelle. Vielmehr soll hier im Vordergrund stehen, warum Daten grundsätzlich verschlüsselt sein sollten. Datenträger werden immer über Kurz oder Lang gestohlen werden, Dateien werden immer irgendwann im Internet landen, kriminelle Menschen in Unternehmen und Behörden wird es immer geben, die offen für Hehlerei von Daten aller Art sind. An Dateien werden Kriminelle allso immer kommen.
Mit Verschlüsselung wäre das nicht passiert
Speziell im Fall von außergewöhnlicher Dummheit, wie diesem, wäre es dem „Finder“ des Melderegisters – denn leider war es wohl so banal – nicht möglich gewesen, die Daten weiterzuverkaufen, wenn diese verschlüsselt gewesen wären. Er hätte nicht hineinschauen können, worum es sich genau handelt. Er hätte keine Beispieldatensätze ziehen können, um potentielle Käufer mit „Beweisen“ über den Wert des Inhaltes zu versorgen. Käufer mit zu viel Vertrauen auf den behaupteten Inhalt wären ebensowenig an die eigentlichen Inhalte gelangt. Kurz, die Daten wären für den Hehler schlicht wertlos gewesen.
Für eigene Geräte ist eine Verschlüsselung nicht schwer umzusetzen. Für Mac, Linux und Windows funktioniert das zuverlässig und kostenlos mit VeraCrypt. Sie entscheiden, ob ganze Datenträger, Ordner oder einzelne Dateien verschlüsselt werden sollen. Das hängt von der Arbeitsweise ab – den Datenträger zu verschlüsseln ist am einfachsten.
Alternativen
Moderne Betriebssysteme haben Verschlüsselungstechnik bereits an Bord.
Mac-User können in den Systemeinstellungen unter Sicherheit … den Reiter FileVault aufrufen und dort mit einem Klick FileVault aktivieren … den „Datei-Tresor“ aktivieren. Der Computer braucht dann je nach Geschwindigkeit eine Weile, um die Daten zu verschlüsseln.
Wer Windows nutzt und dem Hersteller vertraut, hat bereits BitLocker auf dem Rechner; dennoch ist VeryCrypt zu empfehlen. Unter Linux gibt es verschiedene Wege, VeraCrypt zu installieren – meist über die sogenannte Paketverwaltung (Programmverwaltung).
Bonmot
Merkwürdig an der Aufhängergeschichte ist auch, dass die Daten nicht schon verschlüsselt waren. Denn eigentlich ist das Standard. Aber darum sollte es ja hier nicht gehen, das ist eine andere Geschichte.
Urheber: Johannes Landin, CC BY-SA 3.0 https://creativecommons.org/licenses/by-sa/3.0, via Wikimedia Commons.
