Die vergangenen Monate haben gezeigt, dass zunehmend Firmen und Organisationen gehackt werden. Nutzer sind dabei oft collateral damage. Was können sie dafür tun, dass ihre Daten trotzdem geschützt werden?
In den vergangenen Monaten hat es mehrere spektakuläre Hackerangriffe auf Firmen und Organisationen gegeben:
- …auf die Seitensprung-Plattform Ashley Madison (Beute: 60 GB Daten, erfahre mehr)
- …auf den Hersteller von Spionage-Software Hacking Team (Beute: 400 GB Daten, erfahre mehr)
- …auf Sony Pictures Entertainment (Beute: 100.000 GB = 100 TB Daten, erfahre mehr)
Alle diese Angriffe verbindet das Merkmal, dass die Täter sie ausführten, um anschließend so viele Daten wie möglich ins Internet zu stellen. Ihr Ziel war dabei jeweils, der ins Visier genommenen Firma möglichst wirksam zu schaden. Die eventuellen Konsequenzen für die betroffenen Einzelpersonen spielten keine Rolle, sie wurden als collateral damage in Kauf genommen. Der amerikanische IT-Experte und Autor Bruce Schneier nennt solche Angriffe in einem Beitrag für The Atlantic „Organizational doxing“ (der Begriff ist angelehnt an „Docs“, also Dokumente, erfahre mehr). Es scheint sich dabei um eine Form von Hacking zu handeln, mit der zunehmend zu rechnen ist.
Wie in den oben genannten Beispielen die Ethik der Hacker oder der betroffenen Firmen jeweils einzuschätzen ist, steht hier nicht zur Diskussion. Viel interessanter finde ich einen anderen Aspekt: Die Fälle zeigen sehr deutlich, dass grundsätzlich jeder Server gehackt werden kann. Hierfür sind nicht einmal so eklatante Nachlässigkeiten wie bei Sony Pictures Entertainments oder Hacking Team notwendig. Der Fall Ashley Madison zeigt: Selbst ein kleiner Fehler in einer ansonsten guten Sicherheitsarchitektur kann erheblichen Schaden verursachen (erfahre mehr). Man muss daher als Nutzer davon ausgehen, dass alle auf Servern gespeicherten Daten prinzipiell gehackt und im Internet veröffentlicht werden können – egal, wie sehr der jeweilige Betreiber das Gegenteil behauptet.
Welche Konsequenzen für Wissensarbeiter ergeben sich aus diesem Umstand? Ich sehe mindestens drei:
- Ende-zu-Ende-Verschlüsselung sollte auch bei alltäglichen Anwendungen zum Standard werden, z. B. bei E-Mails (erfahre mehr), Chat-Anwendungen (erfahre mehr) oder Cloud-Speichern (erfahre mehr). Dies würde die bei Angriffen auf Server erbeuteten Daten weitgehend unbrauchbar machen.
- Alle Organisationen, die Daten sammeln, gehen davon aus, gegen Angriffe gut geschützt zu sein. Gegen diese Einschätzung ist ein tiefes Misstrauen empfehlenswert, auch und gerade in Bezug auf staatliche Datensammlungen. Nach Möglichkeit sollten wir von Opt-Out Gebrauch machen.
- Unsere Daten sind meist nicht (nur) unsere Daten, sondern enthalten auch viele Informationen über Personen, mit denen wir in Kontakt stehen: Familienmitglieder, Freunde, Kollegen, Kunden, Schüler, Studenten, Patienten, Klienten – kurz, unser gesamtes soziales Umfeld. Wir haben somit nicht nur für uns selbst, sondern auch gegenüber anderen eine große Verantwortung. Dies gilt ganz besonders dann, wenn wir unsere und ihre Daten durch Netzwerke schicken.
Wie schützt Du Deine auf Servern gespeicherten Daten? Hinterlass einen Kommentar!
Findest Du diesen Beitrag interessant?
→ Unterstütze diese Seite mit einer Spende (klicke oben rechts auf „Donate“)
→ Folge mir auf Twitter (@JochenPlikat) oder abonniere neue Beiträge als E-Mail (klicke oben rechts auf „Folgen“)
→ Teile den Beitrag mit Deinen Freunden (klicke unten auf einen der Buttons)
Dieser Text ist lizenziert unter einer Creative Commons Namensnennung – Nicht kommerziell – Keine Bearbeitungen 4.0 International Lizenz.
Bildnachweis: Brech ein… gönn mir diesen Tag! by Esra Kummer on flickr.com (creative commons-Lizenz, bestimmte Rechte vorbehalten: CC BY-SA 2.0)
0 Gedanken zu “Warum „Organizational doxing“ uns alle interessieren sollte”