Archiv

Fallbeispiel: Identitätsdiebstahl

David Zellhöfer & Debora Weber-Wulff

Hans arbeitet für eine pharmazeutische Forschungseinrichtung. Gerade beschäftigt er sich mit einer Studie über ein Medikament für geriatrische Gesundheitsprobleme. Es ist ihm gelungen, 57 betroffene Patienten in verschiedenen Altersheimen in der näheren Umgebung zu finden, die dazu bereit waren, an der Studie teilzunehmen.

Er hat sehr viele Daten gesammelt, um verschiedene, denkbare Einflussfaktoren auf Grundlage einer breiten Basis bewerten zu können. Um mit Sicherheit bestimmen zu können, ob die mit dem Medikament behandelte Gruppe weniger Symptome zeigt als die mit dem Placebo behandelte, unterzieht er die Daten umfangreichen, statistischen Analysen.

Diese Arbeit ist am Institut ziemlich umständlich. Francis, die Datenbankadministratorin, ist eine sehr nervige Person. Ständig tut sie so, als ob sie alles besser als die eigentlichen Forscher wüsste. Besonders ihr ständiges Bestehen darauf, dass Hans die Personen-identifizierenden Daten von den weiteren Daten getrennt halten müsste, gestaltet seine Arbeit kompliziert. Nur um Forscher zu quälen, hatte sie sich ein System mit verschiedenen Passwörtern ausgedacht, damit nur „autorisierte“ Personen Zugang zu den Daten hätten. Dabei hatte er die Interviews selber durchgeführt und konnte sich den Zustand des Patienten viel besser vorstellen, wenn er den Namen und die Adresse aus den Personen-identifizierenden Daten parat hätte. Francis verstand wissenschaftliches Arbeiten einfach nicht.

Obwohl er gelegentlich von zuhause aus arbeiten durfte, war dies dank Francis‘ Vorkehrungen nur schwer möglich. Ein Zugriff über das Internet auf die Datenbank war unterbunden. Wollte er sich mit dem Institut verbinden, musste er das umständliche und vor allem langsame VPN nutzen. Eine schnelle Recherche in der Datenbank war so kaum möglich.

Zum Glück war sein Fußball-Kumpel Deniz ein Computer-Freak. Hans hatte ihn gefragt, wie man Kopien von Daten anfertigen könnte, um von zuhause aus arbeiten zu können. Das Kopieren im VPN war langsam, aber funktionierte. Allerdings waren die Daten, die er gewonnen hatte, mit einem Passwort versehen, aber Deniz zeigte ihm, wie schnell man so etwas mit den heutigen Werkzeugen überlisten konnte. Schlagartig wurde sein Leben leichter. Er konnte am Wochenende arbeiten oder im Café in der Nachbarschaft mit kostenlosem WLAN!

Während des Frühstücks im Café war Hans dabei, die Zahlen aus einem neuen Blickwinkel zu betrachten. Neben ihm waren nur wenige andere Personen im Café, die so ähnlich wie er arbeiteten: mit Notebook und Mobiltelefon; moderne Nomaden.

Eine dieser Personen war Richard. Er war stolz darauf, wie gut er inzwischen darin beim Ausspähen von Daten in öffentlichen Räumen geworden war. Es faszinierte ihn, wie viele Leute keinerlei Passwörter nutzten oder interessante Daten einfach öffentlich zugänglich ablegten. Wenn man ein bisschen Glück hätte, konnte man sogar Daten finden, die man verkaufen konnte. Richard war „selbständig“ und freute sich über jeden Euro, den er verdienen konnte.

Während Hans auf Toilette war, erweckte sein Notebook Richards Aufmerksamkeit. Der Rechner war nicht gesperrt und Richard konnte einen Blick auf eine offene Tabelle werfen. Aus reiner Neugier suchte er im Netzwerk nach Ordnern, die zum Teilen freigegeben waren. Nach einigen Klicks konnte Richard eine Tabelle finden, die persönliche Daten enthielt: Namen, Adressen, Geburtsdaten – Wahnsinn! Ein lukratives Geschäft. Nach den Geburtsdaten zu urteilen handelte es sich um alte Leute. Sie würden gar nicht wissen, wie sie sich gegen eventuellen Identitätsdiebstahl wehren könnten.

Jeder Datensatz war bestimmt 100 € wert – nicht schlecht für nur einen Morgen im Café! Kriminelle, die Waren im Namen anderer kauften, würden sich über diese Daten freuen. Bis die Mahnbriefe eintrafen, wäre die „gekaufte“ Ware längst weiterverkauft. Nur die Personen, deren Daten dazu benutzt worden, würden ihre liebe Mühe haben, das Problem zu verstehen und wohl zahlen müssen. Aber was soll’s – er brauchte das Geld.

Fragen

  • Von den rechtlichen Problemen abgesehen, welche ethischen Probleme sind hier beschrieben?
  • Hans hat ja selber die Daten nicht verkauft. Trifft ihn eine (Mit-)Verantwortung, wenn die Daten widerrechtlich genutzt werden? Richard hat die Daten ja ohne seine Erlaubnis erlangt.
  • Die Daten waren leicht zugänglich– ist Richard dafür verantwortlich, was andere mit den Daten anfangen? Er hätte die Daten ja selber aus öffentlichen Quellen zusammensuchen können.
  • Hat Francis irgendeine Verantwortung für das, was hier passiert ist? Wäre es ihre Pflicht gewesen, die Daten technisch besser zu schützen?
  • Hätte Francis die Mitarbeiter besser über den Sinn und Zweck ihres Sicherheitsprozesses aufklären müssen?
  • Hätte Francis den Zugriff per Audit entdecken müssen?
  • Steht Deniz mit in der Verantwortung, da er sein Wissen bereitwillig geteilt hat ohne nach den Gründen zu fragen?

Erscheinen Informatik-Spektrum, 36(3), 2013, S. 333–335

Leave a Reply

You can use these HTML tags

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>