Unsensible Daten [Update]

Tagesspiegel: „Berliner Kammergericht hantierte leichtfertig mit sensiblen Daten“.

Man kriegt eine Gänsehaut, wenn man das liest. „Viele Juristen denken nicht ansatzweise über den sicheren Umgang mit Daten und ihren Rechnern nach. Es gibt weder Schulung noch Sensibilisierung und selbst wenn es sie gäbe, würden sich die von Berufs wegen unabhängigen Richter darüber hinwegsetzen. (…) Viele Richter arbeiten zu Hause – ein Privileg, das sie als Bestandteil der richterlichen Unabhängigkeit ansehen, obwohl es womöglich mit geltendem Datenschutzrecht kollidiert. Es ist dann unumgänglich, auch zu Hause mit personenbezogenen Daten zu hantieren und diese zu sichern. (…) Nicht auszudenken, wenn Berlin bereits die elektronische Akte hätte – dann wäre alles weg.“

In welchem Jahrhundert leben die eigentlich? Und wer ist verantwortlich? Wieso alles weg? Keine Backups?

[Update] Es ist alles noch viel schlimmer. Die Kommentare sind aber zum Teil besser als der Artikel.

Wie so etwas abläuft, kann man bei Heise nachlesen:

Am Montag, den 13. Mai, um kurz vor 15 Uhr öffnete ein Mitarbeiter eine Mail, die sich auf einen zitierten, echten Geschäftsvorgang bezog. Die Mail stammte scheinbar von einem Geschäftspartner und forderte dazu auf, die Daten im angehängten Word-Dokument zu kontrollieren und bei Bedarf zu ändern. Beim Öffnen des Dokuments erschien eine (gefälschte) Fehlermeldung, die dazu aufforderte, „Enable Editing“ anzuklicken. Dieser Aufforderung kam der Mitarbeiter nach – und das Unheil nahm seinen Lauf.
Im Hintergrund infizierte nämlich Emotet sein Windows-System und begann sofort, sein Unwesen im Heise-Netz zu treiben.

Mit Linux wäre das nicht passiert. Und Word-Dokumente sollte man grundsätzlich nicht verschicken. Ich nehme so etwas gar nicht an.

Diesen Kommentar fand ich am besten:
Das Grundproblem ist die Qualifikation der IT-Verantwortlichen. In den seltensten Fällen sind Admins studierte Informatiker, stattdessen werden Geschäftsstellenbeamte, Rechtspfleger, Richter, Staatsanwälte zu Admins erhoben, die eine Ausbildung „Learning by doing“ erfahren. Was ist der Grund? Geiz ist geil! Die Verantwortlichen in der Justiz, vorgeblich Minister/Senator und Staatssekretäre, Präsidenten der Gerichte haben keine Ahnung von IT. Man will aus Kostengründen nur Mindeststandards erfüllen. Die geringe Qualifikation der IT-Admin des Kammergerichts – die stellvertretend für die Justiz in Berlin, aber auch in den meisten anderen Bundesländern steht – zeigt sich schon, dass in der „Panikmeldung“ der Berliner Justiz von „Imotet“ statt von „Emotet“ berichtet und gewarnt wurde. Das ist an Peinlichkeit schon deswegen nicht zu überbieten, weil vor Emotet seit Monaten als wieder aktuell aufgerufene Malware allenthalben gewarnt wurde. Die vorgenannten Umstände sind der Grund dafür, dass überall im öffentlichen Dienst IT nicht funktioniert. Die gesamte Berliner Verwaltung ist mit einem Mix von Uraltrechnern und Uralt-Betriebssysteme/Software ausgerüstet, für andere Bundesländer gilt weitgehend nichts anderes.

Kommentare

8 Kommentare zu “Unsensible Daten [Update]”

  1. Godwin am Oktober 16th, 2019 4:16 pm
  2. Juri Nello am Oktober 16th, 2019 9:39 pm

    Zeitnot

  3. ... der Trittbrettschreiber am Oktober 17th, 2019 5:55 am

    Datenhasardeure hat es schon immer gegeben, allerdings nicht so erfolgreich, wie sie es sich gewünscht hätten. Wie man täglich miterleben kann, werden auch huete noch jahrtausende alte personenbezogene Daten von Archeologen allerortens freigelegt. Selbst vor dem skelletösen Zustand des Ruhens im Grabe machen die Datenvoyeure nicht halt.
    Es ist halt ein ewiges Geben und Nehmen auf der Suche nach Zerstreuung im meist trockenen Universum.

  4. Michael am Oktober 17th, 2019 7:13 pm

    Ich fürchte, mit Linux wär das evtl. auch passiert und wenn nicht, dann höchstens weil der Anwender etwas kompetenter ist, im Durchschnitt, vielleicht.

    Schadsoftware wie Emotet arbeitet zum einen gewissermaßen mit automatisiertem Social Engineering. Da sitzt das primäre Angriffsziel (und damit potenzielle Schwachstelle) *vor* dem Rechner. Zum anderen machen viele Schadprogramme nichts, was nicht auch der Anwender mit seinen regulären User-Zugriffsrechten ohnehin darf. Das ist ja gerade der Gag bei Verschlüsselungserpressern, Spambots usw. Dazu muß man das System nicht rooten und Systemlücken ausnützen.

  5. ... der Trittbrettschreiber am Oktober 18th, 2019 6:53 am

    Große Unternehmen mit hochbezahlten Know-How-Belasteten verschicken Word-Dokumente auch mit Firmengeheimnissen. Wer sich dagegen äußert, wird nicht nur belächelt und als unintelligent angesehen, sondern riskiert im Wiederholungsfall auch noch seinen Job. C’est la économie…et la sécurité…

  6. Martin Däniken am Oktober 20th, 2019 2:21 am

    Ihr wisst ja was passiert…
    auuf kurz oder lang wird eine schweineteure Beratungsdefizite finden,
    nachdem es ne richtige Sauerei gab bzw eine die auffiel,
    eine interne U-Kommission mal wieder es nicht brachte,
    eine externe naja halbgares zu Tage förderte verbunden mit der ein oder anderen L(i)eckerei, vielleicht noch nem Rücktritt…
    schaun ma mal!

  7. Martin Däniken am Oktober 20th, 2019 2:23 am

    Hätte nochmal drüber gucken sollen müssen,autsch:
    „…schweineteure Beratungsfirma Defizite…“

  8. ... der Trittbrettschreiber am Oktober 27th, 2019 12:29 pm

    @Martin Däniken

    ich hatte mich in der Idee „schweinetreu“ festgebissen. Meine Berater rieten mir dann aber doch, locker zu lassen…

Schreibe einen Kommentar