Schlimmer als verantwortungslose IT-Betreiber, die ihre Datenbanken nicht absichern...

..., sind eigentlich nur Verbrecher, die die Daten Unbeteiligter löschen, um auf deren Kosten den Betreibern eins auszuwischen – und die Lautmäuler unter den Besserwisser- und Oberlehrer-IT-lern, die verbrecherische Akte der Destruktion für geeignete Erziehungsmaßnahmen halten. Das ist ein genauso "sympathisches" Verhalten wie das jener Zeitgenossen, und wer weiß, wie groß die Schnittmenge sein mag, die noch mit 200 km/h auf der Autobahn so gerne gefährliche Manöver fahren, um Rasern/Dränglern/Schneidern/whatever vor, neben und hinter ihnen Lektionen zu erteilen.

Und es wird eben auch durch die theoretische Möglichkeit der Vermeidung von etwas noch Schlimmerem, oder durch den Umstand, dass unter den Verantwortlichen tatsächlich manche sein mögen, die, wenn überhaupt, dann nur durch Schaden klug werden, in keiner Weise besser.



2 mal bearbeitet, zuletzt am 25.07.20 12:50 durch demon driver.

Irgendwie müssen wir vom "auf jegliche Datensicherheit scheißen" wegkommen. Bislang hat es nicht geklappt, egal mit welcher Methode. Datenlecks werden immer häufiger und immer umfangreicher. Wenn diese Methode hilft, dass sich das endlich positiv ändert, dann ist damit auch allen Menschen in der Zukunft geholfen. Da spielen die paar Leute, die dank der zusätzlichen nicht vorhandenen Backups des Anbieters irgendwelche Kosten haben, quasi keine Rolle gegen. Also sofern es denn hilft, sowas künftig zu vermeiden.

Eheran schrieb:
--------------------------------------------------------------------------------
> Irgendwie müssen wir vom "auf jegliche Datensicherheit scheißen" wegkommen.
> Bislang hat es nicht geklappt, egal mit welcher Methode. Datenlecks werden
> immer häufiger und immer umfangreicher. Wenn diese Methode hilft, dass sich
> das endlich positiv ändert, dann ist damit auch allen Menschen in der
> Zukunft geholfen. Da spielen die paar Leute, die dank der zusätzlichen
> nicht vorhandenen Backups des Anbieters irgendwelche Kosten haben, quasi
> keine Rolle gegen. Also sofern es denn hilft, sowas künftig zu vermeiden.

Einerseits stimme ich dem unter dem Strich, was die Chancen einer Wirksamkeit angeht, sehr weitgehend zu. Andererseits ist jeder einzelne Akt der Datenzerstörung auf Kosten Unbeteiligter und Unschuldiger erst mal ein falscher und gehört zu Recht bestraft – nicht nur, weil's im Gesetz steht. Das ist ein Dilemma, dem man mit keiner Dialektik beikommen wird...

Und dann wissen wir ja auch noch nicht, ob die Methode wirklich hilft, dass sich da großflächig und nachhaltig etwas ändert. Vernünftige IT kostet Geld, und das bedroht den Profit; da wird es immer welche geben, die glauben, auch ohne durchkommen zu können...

Schließt du dein Auto nicht ab, gibt es eine Strafe.
Warum sollte das bei IT anders sein? Lieber verliert ein Shop oder whatever meine Daten, als das sie in den Händen irgendwelcher kriminellen sind. So lange NIEMAND wirklich haftet bei so was, find ich das ok. Denn sind die Daten im Umlauf, dann kann man nichts mehr machen. Wegnehmen gibt es da nicht.

Warum wird diese Methode nicht einfach einem verpflichtenden Datenschutz Audits beigefügt? Dann müssen keine Grauzonen ausgenutzt werden.

ibsi schrieb:
--------------------------------------------------------------------------------
> Schließt du dein Auto nicht ab, gibt es eine Strafe.
> Warum sollte das bei IT anders sein?

Diese Strafe wird aber nicht von irgendjemandem auf der Strasse verhaengt, der einfach mal eine beliebige Strafaktion in deinem Auto vornimmt (z.B. Sitze anzuenden), sondern ein dazu von der Gesellschaft beauftragter Vertreter (Polizist) verhaengt eine definierte Strafe, der vor einem ordentlichen Gericht widersprochen werden kann.

demon driver schrieb:
--------------------------------------------------------------------------------
> Vernünftige IT kostet
> Geld, und das bedroht den Profit; da wird es immer welche geben, die
> glauben, auch ohne durchkommen zu können...

Woher kommt eigentlich immer dieser simplistische Denkansatz, dass es immer nur am Geld liegen könnte? Es gibt auch einfach idiotische Admins, die simpelste Checklisten nicht abarbeiten. Oder Developer, die alles selbst machen wollen ("Hey, den Docker-Container hab ich SELBST gebaut, hätte ich da was beachten müssen? Muss man nicht patchen, oder?"). Und natürlich auch "Jaaa, mache ich heute Abend noch schnell für den Kunden fertig, auch wenn's sein muss! (Neues Passwort etc. setze ich morgen früh. Ups, vergessen!)".

Es gibt Organisationen, die unsauber arbeiten und ihre Prozesse nicht sauber definieren oder leben, und es gibt menschliches Versagen. Und natürlich auch Druck, wenn es um Geld geht! Aber nicht nur.

Dann braucht man jetzt nur noch die DSGVO konsequent anwenden und die Unternehmen ordentlich bestrafen, dann hören wahrscheinlich auch die Löschaktion auf..

Richtig, gibt es aber aktuell nicht. Und dann find ich es besser wenn meine Daten nicht frei in der Welt rumfliegen weil IT Sicherheit nicht interessiert.

tralalala schrieb:
--------------------------------------------------------------------------------
> demon driver schrieb:
> ---------------------------------------------------------------------------
> -----
> > Vernünftige IT kostet
> > Geld, und das bedroht den Profit; da wird es immer welche geben, die
> > glauben, auch ohne durchkommen zu können...
>
> Woher kommt eigentlich immer dieser simplistische Denkansatz, dass es immer
> nur am Geld liegen könnte [...]

Keine Ahnung – ich kenne und sehe diesen Denkansatz aber auchnirgends. Meiner jedenfalls ist es ganz sicher nicht, denn "da wird es immer welche geben" heißt nicht "es kann immer nur am Geld liegen".

tralalala schrieb:
--------------------------------------------------------------------------------
> demon driver schrieb:
> ---------------------------------------------------------------------------
> -----
> > Vernünftige IT kostet
> > Geld, und das bedroht den Profit; da wird es immer welche geben, die
> > glauben, auch ohne durchkommen zu können...
>
> Woher kommt eigentlich immer dieser simplistische Denkansatz, dass es immer
> nur am Geld liegen könnte? Es gibt auch einfach idiotische Admins, die
> simpelste Checklisten nicht abarbeiten. Oder Developer, die alles selbst
> machen wollen ("Hey, den Docker-Container hab ich SELBST gebaut, hätte ich
> da was beachten müssen? Muss man nicht patchen, oder?").
Die wenigsten Entwickler wollen zusätzlich zu ihrem Stack noch Admin sein.

ibsi schrieb:
--------------------------------------------------------------------------------
> Schließt du dein Auto nicht ab, gibt es eine Strafe.
> Warum sollte das bei IT anders sein [...]

Sorry, aber bei so vielen so übelst falschen Analogien hier im Forum frage ich mich, ob die Verfasser, sofern sie entprechende Aufgaben haben sollten, solche krassen Fehler auch in der Modellierung von Sachverhalten in IT-Systemen machen. Und so viele grobe Fehler beim simplen Lesen ganz einfacher Sätze. Habe ich irgendwo gesagt, dass solche Fälle nicht bestraft gehören?

Wenn wir mal bei dem nicht abgeschlossenen Auto als Analogie bleiben wollen, dann war im vorliegenden Fall die "Strafe" nun mal kein Bußgeld, was völlig in Ordnung ginge, sondern die "Strafe" sah so aus, dass der Inhalt des Kofferraums, der voll mit Sachen war, die unbeteiligten und unschuldigen Dritten gehörten, konfisziert und vernichtet wurde.

In einem Staat, dessen Strafverfolgung so "arbeitet", würde ich nicht leben wollen. Und als "Selbstjustiz" (wobei der Begriff, ich hatte es an anderer Stelle angedeutet, auch noch ein Euphemismus ist, denn die Täter sind zuvor keine Opfer ihrer Angriffsziele gewesen) durch Zivilpersonen geht sowas erst recht nicht.

ThomasSV schrieb:
--------------------------------------------------------------------------------
> Dann braucht man jetzt nur noch die DSGVO konsequent anwenden und die
> Unternehmen ordentlich bestrafen, dann hören wahrscheinlich auch die
> Löschaktion auf..

Way to go.

demon driver schrieb:
--------------------------------------------------------------------------------
> ..., sind eigentlich nur Verbrecher, die die Daten Unbeteiligter löschen,
> um auf deren Kosten den Betreibern eins auszuwischen – und die
> Lautmäuler unter den Besserwisser- und Oberlehrer-IT-lern, die
> verbrecherische Akte der Destruktion für geeignete Erziehungsmaßnahmen
> halten. Das ist ein genauso "sympathisches" Verhalten wie das jener
> Zeitgenossen, und wer weiß, wie groß die Schnittmenge sein mag, die noch
> mit 200 km/h auf der Autobahn so gerne gefährliche Manöver fahren, um
> Rasern/Dränglern/Schneidern/whatever vor, neben und hinter ihnen Lektionen
> zu erteilen.
>
> Und es wird eben auch durch die theoretische Möglichkeit der Vermeidung von
> etwas noch Schlimmerem, oder durch den Umstand, dass unter den
> Verantwortlichen tatsächlich manche sein mögen, die, wenn überhaupt, dann
> nur durch Schaden klug werden, in keiner Weise besser.

Wieso sind die schlimmer?
Ich seh hier tonnenweise Diskussionen darüber wer schlimmer ist und Firmen können zerstört werden und und und.

Aber NIEMAND hat irgendwie von nem Backup gesprochen ... wer hat denn bitte kein Backup von seinen Datenbanken und wie verantwortungslos ist das dann?
Man kann mal nen Fehler machen oder eine überarbeitete IT haben die das nicht richtig absichert ja, aber dann hat man doch trotzdem ein Backup.
Wer das nicht mal hat ... der gehört nicht in den Job, deren Firma sollte nicht mit solchen Daten arbeiten.

Da hast Du mit dem Backup recht. Rechtfertigt die Aktionen trotzdem nicht

> Dann braucht man jetzt nur noch die DSGVO konsequent anwenden und die
> Unternehmen ordentlich bestrafen, dann hören wahrscheinlich auch die
> Löschaktion auf..

Ziemlich sicher würden Löschaktionen offener Datenbanken aufhören, wenn es aufgrund der zu erwartenden harschen Konsequenzen keine offenen Datenbanken mehr gibt.

Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.