Großherzogtum der Angst (II)

Im Großherzogtum der Angst1 passieren mal wieder merkwürdige Dinge. Im Januar wurde bekannt, dass es Außenstehenden gelungen war, in die Datenbank des staatlichen sportmedizinischen Dienstes „einzudringen“. Nicht etwa durch einen spektakulären Hack, sondern weil Mitarbeiter_innen ihre Zugangsdaten auf einem Zettel am Bildschirm kleben hatten und der Zugang zur Datenbank im offenen Internet (und nicht etwa in einem VPN oder Intranet) möglich war. Es waren also Daten von knapp 49.000 Personen, immerhin fast 10% der Bevölkerung, einsehbar. Die Person, die das entdeckt hat, hat sich offenbar beim Computer Incident Response Center Luxembourg (CIRCL) gemeldet. Die luxemburgische Piratenpartei hat damals anscheinend mehrmals auf das Datenleck hingewiesen, offenbar wurde aber nichts unternommen. Ich muss ehrlich gestehen, dass ich gerade Probleme habe, nachzuvollziehen, wie das ganze in die Medien kam: alle Links zur Sache finden sich beim luxemburgischen Chaos Computer Club.

Im Januar also ziemlich viel Wirbel und die Ankündigung, es würde gegen die betreffende Person ermittelt, mit Beteuerungen, die Mitarbeiter_innen des Medico würden nun geschult, wie sie ihre Passwörter schützen sollten. Und jetzt gab es Hausdurchsuchungen. Nicht etwa bei der unbekannten Person, die die „Schwachstelle“ entdeckt hat, sondern bei Sven Clement, Präsidenten der Piratenpartei und einem Mitarbeiter des staatseigenen CIRCL. Warum jetzt die Überbringer der schlechten Nachricht verfolgt werden, ist unverständlich. Die Grünen sehen die Hausdurchsuchungen sogar politisch motiviert. Das könnte bei Sven Clement durchaus der Fall sein – auch wenn ich eher dazu neige Dummheit und Inkompetenz statt Verschwörungen zu sehen – bei dem zweiten Beschuldigten jedoch nicht, da dieser (sofern bekannt) kein Parteimitglied2 ist.

Schräge Geschichte. Und halt eins der „klassischen“ Hacker_3schicksale: Wer eine Schwachstelle findet und sie meldet, wird kriminalisiert, auch wenn gar keine Daten kopiert wurden. Leider werden gutgemeinte Hinweise endweder so lange ignoriert, bis sie an die Presse gelangen oder Tippgeber_innen werden sofort kriminalisiert, obwohl ihre Intentionen edel sind. Es erschreckt mich, wie in Luxemburg immer noch mit dem Thema Netzpolitik umgegangen wird, obwohl viele große Internetfirmen im Großherzogtum ihren Sitz haben und mächtig Steuern sparen. Da wäre es doch auch vielleicht mal eine Idee, sich entsprechend zu informieren. Vielleicht bräuchte beeSecure eine Rubrik für Politiker_innen und Beamte? Ich habe es schon einmal gesagt: eine Ökonomie alleine auf billigen Zigaretten und Brötchen aufzubauen ist nicht so die grandiose Idee.

Ein wenig Hoffnung sind die grünen, liberalen und linken Oppositionsparteien im Parlament. Ich bin kein sehr großer Fan der Piraten, aber offenbar hat Luxemburg sie nötig. (Es gibt übrigens noch eine weitere Oppositionspartei, die immer brauner wird, wie Sveinn festgestellt hat.)


1(Teil I ist übrigens mein Redebeitrag von einer Freedom Not Fear-Demo, in dem ich mich als Pirat bezeichnet habe. Ich bin und war zu keinem Zeitpunkt Mitglied irgendeiner Piratenpartei, ich habe den Begriff im Sinne von „Piratebayuser“ verwendet.)
2Auf jeden Fall keins der Piraten.
3Ich verwende den Unterstrich _ in diesem Fall als Anzeige, dass das Wort „Hacker“, das aus dem Englischen stammt und im Deutschen zwar oft geschlechtsneutral verwendet wird, manchmal aber auch als männlich gelesen wird, als englisches, geschlechtsneutrales Wort zu lesen ist.
Photo: Some rights reserved by kevin dooley

4 Kommentare “Großherzogtum der Angst (II)

  1. Mal abgesehen von den sehr guten Punkten die aufgeworfen werden, würde ich doch einwerfen wollen dass medizinische Datenspeicherung weniger Richtung Uberwachung sondern mehr Richtung Gesundheitswesen und Entwicklung des allgemeinen Gesundheitszustand angedacht ist, und somit aus meiner Sicht (wenn ausreichend gesichert) durchaus einen sozialen/menschenwürdigen Zweck erfüllt.

  2. Guter Punkt, allerdings sind es ja nur Daten von Sportler_innen – ich wage es aber nicht, hierrüber eine Aussage zu machen, dafür habe ich einfach keine Ahnung. Gerade medizinische Daten sollten meiner Meinung nach besonders gut vor Unbefugten geschützt werden.

  3. Allein für die Früherkennung von Herzproblemen sind bspw chronologische Daten nicht schlecht was gerade bei Sportlern ja wichtig ist. Desweiteren sind auch allgemeine Statistiken zur Gesundheit zusammen mit Gewicht/Aktivität/Alter etc für Krankenkasse/Krankenhäuser/Arzte/Santé Publique wichtig und interessant.
    Dass diese Daten sensibel sind und entsprechend auch die Anonymisierung bei der Verwertung von grosser Wichtigkeit ist, ist selbstverständlich.
    Was mich ein wenig stutzig macht ist dass auf die Regierung eingedroschen wird, klar ist und war dieses System der Datensicherung per einem Passwort nie zeitgemäss, dieses Vorkommniss hier wäre aber auch mit dem tollsten Sicherheitssystem passiert. Wer Post-it’s mit Passwörtern versieht, der lässt auch USBsticks/Tokens/Authentificator öffentlich rumliegen.
    Das Gute ist aber natürlich dass an der Situation dann jetzt unabhängig auch was geändert wird.

Leave a Reply

Your email address will not be published. Required fields are marked *