Im Großherzogtum der Angst1 passieren mal wieder merkwürdige Dinge. Im Januar wurde bekannt, dass es Außenstehenden gelungen war, in die Datenbank des staatlichen sportmedizinischen Dienstes „einzudringen“. Nicht etwa durch einen spektakulären Hack, sondern weil Mitarbeiter_innen ihre Zugangsdaten auf einem Zettel am Bildschirm kleben hatten und der Zugang zur Datenbank im offenen Internet (und nicht etwa in einem VPN oder Intranet) möglich war. Es waren also Daten von knapp 49.000 Personen, immerhin fast 10% der Bevölkerung, einsehbar. Die Person, die das entdeckt hat, hat sich offenbar beim Computer Incident Response Center Luxembourg (CIRCL) gemeldet. Die luxemburgische Piratenpartei hat damals anscheinend mehrmals auf das Datenleck hingewiesen, offenbar wurde aber nichts unternommen. Ich muss ehrlich gestehen, dass ich gerade Probleme habe, nachzuvollziehen, wie das ganze in die Medien kam: alle Links zur Sache finden sich beim luxemburgischen Chaos Computer Club.
Im Januar also ziemlich viel Wirbel und die Ankündigung, es würde gegen die betreffende Person ermittelt, mit Beteuerungen, die Mitarbeiter_innen des Medico würden nun geschult, wie sie ihre Passwörter schützen sollten. Und jetzt gab es Hausdurchsuchungen. Nicht etwa bei der unbekannten Person, die die „Schwachstelle“ entdeckt hat, sondern bei Sven Clement, Präsidenten der Piratenpartei und einem Mitarbeiter des staatseigenen CIRCL. Warum jetzt die Überbringer der schlechten Nachricht verfolgt werden, ist unverständlich. Die Grünen sehen die Hausdurchsuchungen sogar politisch motiviert. Das könnte bei Sven Clement durchaus der Fall sein – auch wenn ich eher dazu neige Dummheit und Inkompetenz statt Verschwörungen zu sehen – bei dem zweiten Beschuldigten jedoch nicht, da dieser (sofern bekannt) kein Parteimitglied2 ist.
Schräge Geschichte. Und halt eins der „klassischen“ Hacker_3schicksale: Wer eine Schwachstelle findet und sie meldet, wird kriminalisiert, auch wenn gar keine Daten kopiert wurden. Leider werden gutgemeinte Hinweise endweder so lange ignoriert, bis sie an die Presse gelangen oder Tippgeber_innen werden sofort kriminalisiert, obwohl ihre Intentionen edel sind. Es erschreckt mich, wie in Luxemburg immer noch mit dem Thema Netzpolitik umgegangen wird, obwohl viele große Internetfirmen im Großherzogtum ihren Sitz haben und mächtig Steuern sparen. Da wäre es doch auch vielleicht mal eine Idee, sich entsprechend zu informieren. Vielleicht bräuchte beeSecure eine Rubrik für Politiker_innen und Beamte? Ich habe es schon einmal gesagt: eine Ökonomie alleine auf billigen Zigaretten und Brötchen aufzubauen ist nicht so die grandiose Idee.
Ein wenig Hoffnung sind die grünen, liberalen und linken Oppositionsparteien im Parlament. Ich bin kein sehr großer Fan der Piraten, aber offenbar hat Luxemburg sie nötig. (Es gibt übrigens noch eine weitere Oppositionspartei, die immer brauner wird, wie Sveinn festgestellt hat.)
1(Teil I ist übrigens mein Redebeitrag von einer Freedom Not Fear-Demo, in dem ich mich als Pirat bezeichnet habe. Ich bin und war zu keinem Zeitpunkt Mitglied irgendeiner Piratenpartei, ich habe den Begriff im Sinne von „Piratebayuser“ verwendet.)
2Auf jeden Fall keins der Piraten.
3Ich verwende den Unterstrich _ in diesem Fall als Anzeige, dass das Wort „Hacker“, das aus dem Englischen stammt und im Deutschen zwar oft geschlechtsneutral verwendet wird, manchmal aber auch als männlich gelesen wird, als englisches, geschlechtsneutrales Wort zu lesen ist.
Photo: Some rights reserved by kevin dooley