Soeben bin ich über eine neue Art der Geiselnahme gestolpert.
Zu dem Ausdruck sagt die deutsche Wikipedia folgendes:
„Die Geiselnahme ist eine Straftat gegen die persönliche Freiheit und vor allem gegen die körperliche Integrität des Einzelnen.“
Die „klassischen“ Varianten kennt wohl jeder, zb. bei…
… Banküberfällen
… Flugzeugentführungen
… Raub bei dem die Flucht vergeigt wurde
… etc…
In der Regel wird eine Forderung, meistens in der Form von Geld oder Fluchtmöglichkeit gestellt. Im Gegenzug dazu werden dann Geiseln freigelassen.
Nun hat sich ein findiger Hacker das Konzept Geiselnahme in die digitale Welt übertragen. Gemäss einem Artikel auf Inside-IT.ch hat besagter Hacker über die Website einer Gesundheitsbehörde in den USA etwa 8 Millionen Patientendaten als Geisel genommen. Diese Website wird von Gesundheits-Dienstleistern zur Verifikation von Medikament-Rezepten genutzt um Rezeptfälschungen zu erschweren.
Gemäss dem Artikel erlangte der Hacker Zugriff auf die Datenbank, verschlüsselte diese und löschte alle anderen Online-Backups. Gemäss WikiLeaks sind die Offline-Backups Dummerweise unauffindbar. Oh noes!
Bei einer Zahlung von 10 Millionen US-Dollar würde der Hacker das Passwort herausgeben. Vermutlich würden die IT-Leute besagter Behörde dann nur noch Müll in der entschlüsselten Datenbank finden.
In der aktuellen Diskussion um das anlegen grosser Datensammlungen wie zb der Datenbank des Bundes für die Biometrie-Pässe stimmen mich solche Nachrichten nachdenklich. Ist es wirklich nötig, dass so umfassende Datensätze über jeden einzelnen im Internet verfügbar sind? Meiner Meinung nach NEIN. Solche Daten gebührt der höchste mögliche Schutz. Wenn über weite Strecken solche Daten ausgetauscht werden müssten, dann brauchts schon etwas mehr als ein JavaScript-Login auf einer öffentlichen Website.
Einige werden nun argumentieren, dass viele Bürger sowieso ihr ganzes Leben in Facebook, Xing, StudiVZ und Konsorten der ganzen Welt zur Verfügung stellen. Klar, es gibt tausende von Menschen, die nicht wissen, was sie da eigentlich tun, jede Freundeseinladung akzeptieren und es zu solch unschönen Sachen kommt. Jedoch haben diese Menschen diese Informationen auf die eine oder andere Weise selbst ins Internet gebracht und sind auch selbst schuld. Wer würde schon ein Plakat mit „Bin im Urlaub“, an seine Haustüre heften und damit sämtliche Einbrecher auf leichte Beute aufmerksam zu machen?
Anders sieht das zB. mit medizinischen informationen aus, welche Krankenkasse über Ihre Kunden hat. Ich erwarte, dass diese bestmöglich vor unbefugtem Zugriff geschützt werden. Wenn dies nicht der Fall ist und diese Daten dann zB beim Arbeitgeber auftauchen, kann der Betroffene nun wirklich nichts dafür. Das Datenschutzgesetz regelt zwar solche Sachen, bringt einem aber, wenn das Kind schon im Brunnen liegt, herzlich wenig.
Deswegen bin ich der Meinung, dass Datensätze nur dort angelegt werden, wo sie zwingend notwendig sind. Nur so kann man einem Missbrauch vorbeugen