Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Leak Mitgliederdaten - Unzureichende Konsequenzen?
#1
Ich war interessiert am Beitritt. Dann wurden persönliche Mitgliederdaten veröffentlicht.

Ich habe auf den Seiten der Partei nachgesehen, wie man damit umgeht. Was ich gefunden habe, würde ich zusammenfassen mit "Es tut uns leid, wird nicht wieder vorkommen."
Das ist polemisierend formuliert, allerdings ist es aus meiner Sicht einfach nicht ausreichend.

Mutmaßlich sei kein Eindringen in Systeme nötig gewesen, weil die Daten ungesichert gewesen seien, so gaben es diejenigen offenbar an, die die Daten kopiert und veröffentlicht hatten.
Sofern das zutrifft, wäre das kaum als etwas anderes zu schlussfolgern als unzureichende Kompetenz bei den Verantwortlichen.
Was ich daraufhin erwarten würde, falls ich mich zu diesem Zeitpunkt bereits als Mitglied anbemeldet hätte und somit betroffen wäre, ist eine transparente Darlegung, was für Konsequenzen gezogen wurden, um dergleichen in Zukunft vorzubeugen.
Da ich in der Richtung nichts an Informationen finden konnte, kann ich mich derzeit nicht anmelden.



Mein Eindruck ist, daß die Verantwortlichen nicht über die Notwendigen professionellen Kenntnisse und Fähigkeiten verfügen, um für die persönlichen Daten Sorge zu tragen. 
Da aufgrund der politischen Lage und Rolle der Partei damit zu rechnen ist, daß mit Versuchen von Spaltung und Sabotage zu rechnen ist, finde ich hier zusätzliche Vorsicht bei der Auslegung, dem Betrieb und damit einhergehend unausweichlich auch der Auswahl der Verantwortlichen unausweichlich.

Was auf Mangel an Kompetenz hinweist:

Als eine Erklärung bzw. Entschuldigung wurde darauf hingewiesen, man habe Software eines führenden Herstellers verwendet. 
Es wurde somit suggeriert:
1. es könne auf Sicherheit der Software vertraut werden, da sie von einem nahmhaften Hersteller angeboten werde
2. bei der Sicherheit von Daten käme es (alleine) auf die Datenbank-Software an

Wer Nachrichten rezipiert, kennt Meldungen von Sicherheitslücken auch bei den größten Herstellern von Software-, Hardware und Webseitenbetreibern. Die Idee, daß eine Software von sich aus Sicherheit gegen Datenklau biete, wift erhebliche Zweifel auf bzgl. der IT-Kompetenz.
Hinzu kommt, daß Sicherheitsfunktionen, die eine Software bietet, auch genutzt bzw. korrekt genutzt werden müssen. Wenn eine Software Sicherheits-relevante Features hat, man diese jedoch nicht aktiviert, dann liegt es nicht an der Software. Es kommt also auch auf den fachlich sinnvollen Gebrauch der Software an.

Sofern die Daten in keiner Weise gesichert waren gegen Zugriff, sondern unverschlüsselt zur Abholung bereit lagen ist das ein frappierender Fauxpas bzw. weckt den Verdacht von möglichem Vorsatz.

Sensible Daten müssen ausnahmslos immer verschlüsselt sein. Das nicht zu tun, ist unentschuldbar. 
Computersysteme bieten viele Angriffsvektoren. Wer für sensible Daten verantwortlich ist, kann dem nur gerecht werden durch profundes Wissen in Datensicherheit. Natürlich kann das nicht jeder. Beruflich etwas mit Computern und Netzwerk zu tun zu haben reicht nicht grundsätzlich aus.

Der Hinweis auf den namhaften Software-Hersteller mit tausenden Mitarbeitern weist auf ein offenbar übersehenes Risiko hin: Die Mitarbeiter des Anbieters.
Es ist bekannt, daß aktiv politische polarisiert wird. Dh. in der Bevölkerung sind viele hoch motiviert gegen vermeintliche rechtsextreme zu wirken. Man kann wohl davon ausgehen, daß in einer großen Softwarefirma auch viele Mitarbeiter sich als linke Aktivisten verstehen.
Von hier aus ist zu erwarten, daß diese Mitarbeiter des Software-Herstellers, die genau wissen, wie und wo diese Software Daten verwaltet und speichert, geneigt sein werden, diese Daten zu kopieren und zu veröffentlichen.
Auf der Ebene ist das keine Frage von fachlicher Kompetenz, sondern ich würde sagen, daß jemand, der arglos genug ist, einen solchen Angriff nicht zu antizipieren, für den Job nicht geeignet sein dürfte. 

Nun kam zur Sprache, daß auch eine angedachte Seite zur Befragung von Bürgern nicht sicher gegen Manipulation war, bzw. diese sogar besonder einfach gewesen sei.

Hinzu kommt, daß man zukünftig auf digitalem Wege Abstimmungen und weitere Befragungen durchführen will. Auf der bisherigen IT-Basis ist das absehbar nicht realistisch. 

Alles in allem ergibt sich ein Bild, das nicht nur Zweifel an den IT-Verantwortlichen aufwirft, sondern auch an die Parteiverwaltung. Es kann passieren, daß jemand Anforderungen nicht gewachsen ist. Da muss nicht unbedingt böser Wille hinter stehen.
Aber es muss dann bei den Verantwortlichen die Situation gehandhabt werden, dh. man muss konsequent aufgetauchte Probleme angehen und beheben.
Das scheint nicht der Fall und wirft die Frage auf, ob hier ein erfolgreicher Umgang zu erwarten ist mit den anderen Problemen, die sich stellen durch Angriffe politischer Gegner, der System-Medien, möglicherweise sabotierende oder durch Unbedarfheit (ohne Absicht) der politischen Sache schadende Personen.

Es geht in diesem Beitrag nicht darum, jemanden persönlich anzugreifen. Die Aufgabe der Partei ist jedoch zu wichtig, als daß es möglich wäre, Risiken einzugehen. Wenn sich ein missions-kritisches Problem gezeigt hat, muss man es lösen. 
Man kann nicht ein Scheitern riskieren und die persönliche Sicherheit der Mitglieder, weil man vermeiden will, daß jemand gekränkt wird, wenn man Konsequenzen zieht.
Wenn die Parteispitze dazu nicht in der Lage ist, wird es bei allem, was sonst noch an Problemen auftauchen wird, am Ende nicht zum Erfolg führen.

Ich möchte zusätzlich anmerken, welche low-tech Ansätze derlei Risiken minimieren:

1. Sensible Daten auf einem System ohne Internet-Anbindung, dh. offline. Email-Adressen sind weniger sensibel als andere persönliche Daten, so daß man eine Liste mit Email-Adressen und ggflls. Mitgliederkennung in einer darauf reduzierten Datenbank vorhalten kann.*


2. Karteikarten auf Pappe.


*Eine Datenbank, die zu keiner Zeit mit dem Internet verbunden ist, kann bereits hinreichend sicher sein.
Selbstverständlich müssen dafür dennoch Daten verschlüsselt, der Zugang beschränkt sein, der Zugriff muss gelogt werden, die Verwendung von USB- und anderen Speichermedien muss systemweit abgeschaltet sein, WLAN- und Bluetooth-Hardware muss entfernt werden bzw. stets abgeschaltet sein, etc. etc.. 
Mit Problembewusstsein und Intelligenz lässt sich das bewerkstelligen.

Der analoge Ansatz mit Karteikarten verdeutlicht, daß manchmal auch ganz einfache potentielle Lösungen gibt.
Natürlich ist das aufwändiger. Aber es würde gehen, wenn man es will.
Zitieren
#2
Dieses Datenleck ist auch für mein Zögern durchaus ein Grund. Es ist ja gut, dass dieses Leck eingeräumt wurde, aber das ist auch das Mindeste und mit "Tut uns leid, wird nicht wieder vorkommen" kann man auch mich nicht wirklich überzeugen.

Vor dem Ausufern dieses unsäglichen Irrsinns habe ich mich für gewöhnlich ganz normal im Internet bewegt und hatte in sozialen Netzwerken (nicht Facebook!) in aller Regel auch ein Profilbild hochgeladen.

Als immer deutlicher wurde, wohin diese Reise geht und die Netzwerke zunehmend systemgefährliche Beiträge und Kommentare löschten und / oder Sperren oder sogar totale Aussschlüsse verhängten, verschwanden nicht nur meine Bilder, sondern ich fing auch an, meine Identität, etwa mittles VPN oder TOR (u.U. plus Bridges) zu verschleiern.

Bei solchen Versteckspielen komme ich mir jedoch wie ein Verbrecher vor, obwohl ich damit einfach nur diesem aufdringlichen Gefühl entgehen wollte, permanent unter negativer Beobachtung zu stehen, mich ein bisschen sicherer zu fühlen.

Ein Smartphone betreibe ich nicht, sodass man mich zumindest dahingehend gar nicht tracken kann.

Die Sicherheit meiner Daten nehme ich also schon sehr ernst. Ich möchte mich hier normal sicher fühlen können.
Zitieren
#3
Ich würde zu den berechtigten An- und Nachfragen der Gäste bzgl. digitaler Sicherheit ein Statement eines Zuständigen der Partei erwarten.
Es ist alles eine Frage der Perspektive.
Zitieren
#4
(28.07.2021, 20:35)ricardo schrieb: Ich würde zu den berechtigten An- und Nachfragen der Gäste bzgl. digitaler Sicherheit ein Statement eines Zuständigen der Partei erwarten.

da kannst du lange warten

die Unfähigkeit und die Inkompetenz in der dieBasis ist so gross das sich niemand getraut dazu was zu sagen.

Ist halt bei dieser Ansammlung von Covidioten so. Da findet man keine guten Leute. Wenn sich Deppen zusammentun erhöht sich nicht die Kompetenz.  Im Gegenteil

Also - Finger weg von dieBasis. Wer dort Mitglied wird muss damit rechnen das seine persönliche Daten immer noch bzw. wieder im Netz frei verfügbar sind.

ausserdem lohnt sich die Mitgliedschaft nicht. Nach der Bundestagswahl wird dieBasis langsam aber sicher dahinsiechen und verkümmern.

In einigen Jahren ist die weg vom Fenster.

und das ist gut so!

je weniger braune Socken aktiv sind desto besser geht es unserer Demokratie
Zitieren
#5
Aber Demokratie lebt nun einmal von Vielfalt. Sollte sie zumindest. Diesen Erkenntnisgwinn habt ihr, die wahren Rechten, noch nicht erlangt.
Zitieren
#6
Boah ey, da läßt sich ein Gast aber aus über dieBasis. Er disqualifiziert sich selber mit seinen emotionalen Ergüssen. Er weiß noch nicht, daß es keinen Datenschutz gibt. Er weiß nichts vom Bundestrojaner. Er weiß nichts von Netzwerkdurchsetzungsgesetz usw. Immerhin gibt er uns noch einige Jahre. Irgendwas muß aber dran sein an der dieBasis, wenn man so dagegen wettern muß. Denn nobody kills a dead dog.
Es ist alles eine Frage der Perspektive.
Zitieren
« Ein Thema zurück | Ein Thema vor »




Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste