1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Knuddels-Leak: Datenschützer…

Für eine Speicherung im Klartext

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema
  1. 1
  2. 2
  3. 3
  4. 4

Neues Thema Ansicht wechseln


  1. Für eine Speicherung im Klartext

    Autor: drdoolittle 22.11.18 - 10:41

    hätte ich mir doch eine höhere Strafe erwartet. Klartextspeicherung ist ja weit ab von state-of-the-art, wie in der DSGVO gefordert.

  2. Re: Für eine Speicherung im Klartext

    Autor: Avarion 22.11.18 - 10:45

    Der Witz scheint ja zu sein, dass das Klartextpasswort nicht für den Login sondern für einen Chatfilter war.

  3. Re: Für eine Speicherung im Klartext

    Autor: Oktavian 22.11.18 - 10:50

    > hätte ich mir doch eine höhere Strafe erwartet.

    Ich hätte da noch ein paar Fragen.

    Was hättest Du denn für eine angemessene Höhe gehalten? Und durch welchen Fakten (z.B. Umsatz und Gewinn) begründest du das? Und mit welchen anderen Fällen und verhängten Bußgeldern setzt du das in Relation, um eine Angemessenheit sicherzustellen?

  4. Re: Für eine Speicherung im Klartext

    Autor: andy01q 22.11.18 - 11:05

    5¤ pro geleaktem Passwort unabhängig vom Umsatz des Unternehmens.
    Das ganze noch abhängig davon ob verifizierte Email und ob mit sensitiven Daten verknüpft und je nach Kooperation höher oder niedriger, aber so als Hausnummer sinnvoll.
    Der gesamte Datensatz mit Wohnort, Kreditkarte, Religion, Bankaccount etcpp. dann so 100-200¤ + evtl. unmittelbar entstandener Schaden.
    Unternehmen die dadurch bankrott gehen können verstaatlicht werden und wenn schon verstaatlicht bleibt nur die zuständigen Personen zu feuern und ihnen die Boni zu streichen.



    1 mal bearbeitet, zuletzt am 22.11.18 11:18 durch andy01q.

  5. Re: Für eine Speicherung im Klartext

    Autor: M.P. 22.11.18 - 11:15

    Angesichts der Tatsache, das DAUs dazu neigen, keine unterschiedlichen Passworte für ihre verschiedenen Logins zu verwenden, muss man leider davon ausgehen, dass solche Passwort-Lecks deutlich mehr Schaden anrichten, als durch den dadurch möglichen Einbruch in den Useraccount auf dem Server, dessen Passworte gestohlen wurden ...

  6. Re: Für eine Speicherung im Klartext

    Autor: Oktavian 22.11.18 - 11:15

    > 5¤ pro geleaktem Passwort unabhängig vom Umsatz des Unternehmens.

    Und warum 5 und nicht 4 oder 6? Warum nicht 4,50 oder 5,28? Und immer dran denken die Begründung muss sich vor einen Gericht verteidigen lassen. Mir kommen die 5 ziemlich aus der Luft gegriffen vor.

    Zudem, macht es wirklich keinen Unterschied, ob das Passwort zu einem Chat-Account gehörte oder zu einem Bankkonto?

    Macht es auch keinen Unterschied, ob das Unternehmen zügig an der Aufklärung mitgewirkt hat, oder ob es sich da sehr geziert hat?

  7. Re: Für eine Speicherung im Klartext

    Autor: 0x8100 22.11.18 - 11:16

    20000¤ bußgeld bei 2mio datensätzen. das ist ein ganzer cent pro datensatz. und das bei einem groben verstoss (klartextpasswort). als user sieht man, wie wenig dem staat die eigenen daten wert sind und für das unternehmen ist es keine wirkliche strafe.

  8. Re: Für eine Speicherung im Klartext

    Autor: Oktavian 22.11.18 - 11:17

    > Angesichts der Tatsache, das DAUs dazu neigen, keine unterschiedlichen
    > Passworte für ihre verschiedenen Logins zu verwenden, muss man leider davon
    > ausgehen, dass solche Passwort-Lecks deutlich mehr Schaden anrichten, als
    > durch den dadurch möglichen Einbruch in den Useraccount auf dem Server,
    > dessen Passworte gestohlen wurden ...

    Bin ich voll bei dir, aber ist es Schuld der Bank, wenn der Kunde die PIN auf die Bankkarte schreibt? Auch Hamster gehören nicht in die Microwelle. Mehr als immer wieder drauf hinweisen kann man nicht. Wer trotzdem nicht selbst elementare Maßnahmen beachtet, kann sich allenfalls den unmittelbaren Schaden ersetzen lassen. Und der dürfte hier exakt null gewesen sein.

  9. Re: Für eine Speicherung im Klartext

    Autor: Oktavian 22.11.18 - 11:19

    > 20000¤ bußgeld bei 2mio datensätzen. das ist ein ganzer cent pro datensatz.
    > und das bei einem groben verstoss (klartextpasswort). als user sieht man,
    > wie wenig dem staat die eigenen daten wert sind und für das unternehmen ist
    > es keine wirkliche strafe.

    Alles richtig, aber die Fragen aus meinem Post bleiben damit unbeantwortet. Wenn Du mehr für angemessen hälst, solltest Du schon eine Summe nennen können und die auch gerichtsfest begründen können insbesondere im Lichte der Angemessenheit. Es geht hier im ein Chat-Account, nicht um Bank- oder Gesundheitsdaten.

  10. Re: Für eine Speicherung im Klartext

    Autor: M.P. 22.11.18 - 11:21

    Ein Geschwindigkeitssünder innerorts kommt auch nicht gegen sein Bußgeld an, auch wenn er nachweisen kann, dass man an der entsprechenden Stelle auch gefahrlos 65 km/h statt der vorgeschriebenen 50 km/h fahren könnte...

    Aber hohe Bußgelder für Passwort-Verlust würden natürlich das Aus für Hobby-Projekte, die die Betriebskosten durch Werbeeinahmen mehr schlecht als Recht finanzieren bedeuten.

    Niemand wird Hobbymäßig ein "Taubenzüchter-Forum" für 100.000 Taubenzüchter betreiben, mit dem er vielleicht am Ende des Jahres 500 ¤ Überschuss über die Serverkosten erzielt hat, wenn ihm bei Erbeutung der Daten der User eine Strafe von 500.000 ¤ droht ...



    2 mal bearbeitet, zuletzt am 22.11.18 11:23 durch M.P..

  11. Re: Für eine Speicherung im Klartext

    Autor: Oktavian 22.11.18 - 11:26

    > Ein Geschwindigkeitsünder innerorts kommt auch nicht gegen sein Bußgeld an,
    > auch wenn er nachweisen kann, dass man an der entsprechenden Stelle auch
    > gefahrlos 65 km/h statt der vorgeschriebenen 50 km/h fahren könnte...

    Deshalb werden die wirklich schmerzhaften Strafen auch abhängig von Einkommen, von den persönlichen Umständen und der Schwere der Schuld festgelegt. Strafkataloge wie beim Straßenverkehr gibt es ja nur für Kleinigkeiten, wo die Bußgelder eher erzieherische Maßnahmen darstellen. Und auch im Straßenverkehr wird bei wirklich heftigen Verstößen die Strafe individuell ermittelt durch ein Gericht.

    > Niemand wird Hobbymäßig ein "Taubenzüchter-Forum" für 100.000 Taubenzüchter
    > betreiben, mit dem er vielleicht am Ende des Jahres 500 ¤ Überschuss über
    > die Serverkosten erzielt hat, wenn ihm bei Erbeutung der Daten der User
    > eine Strafe von 500.000 ¤ droht ...

    Genau das ist mit Verhältnismäßigkeit gemeint. Es muss den Schaden für den Betroffenen berücksichtigen, den Grad des Verschuldens des Verursachers, den Grad der Dämlichkeit, die Anzahl der Betroffenen, die Leistungsfähigkeit des Verursachers, die Motivation des Verursachers, usw. Sowas festzulegen ist ziemlich komplex.

    Es kann sein, dass 20.000 hier zu wenig sind, vielleicht wären 100.000 angemessen, vielleicht mehr oder weniger, keine Ahnung. Aber reflexartig immer nach mehr zu brüllen ist ziemlich albern. Wenn man mehr will, sollte man gut begründen können, wieviel mehr und warum. Ansonsten sind das leere Phrasen, Meinung ohne Hintergrund.



    2 mal bearbeitet, zuletzt am 22.11.18 11:35 durch Oktavian.

  12. Re: Für eine Speicherung im Klartext

    Autor: eidolon 22.11.18 - 11:28

    Oktavian schrieb:
    --------------------------------------------------------------------------------
    > Es geht hier im ein Chat-Account, nicht um Bank- oder
    > Gesundheitsdaten.

    Leute haben aber die Angewohnheit dieselben Zugänge für alles mögliche zu nehmen, womit man also viel mehr als Logins für ne Chatseite bekommen hat.

  13. Re: Für eine Speicherung im Klartext

    Autor: Oktavian 22.11.18 - 11:31

    > Leute haben aber die Angewohnheit dieselben Zugänge für alles mögliche zu
    > nehmen, womit man also viel mehr als Logins für ne Chatseite bekommen hat.

    Leute haben auch die Angewohnheit, ihre PIN auf die Bankkarte zu schreiben. Trotzdem würde man der Bank keine Mitschuld hierbei unterstellen. Auch Hamster steckt man besser nicht in die Microwelle und Kaffe ist gelegentlich heiß.

    Wer zumindest für die wesentlichen Accounts keine anderen Passwörter verwendet, und damit grob gegen jede Emfehlung und jeden gesunden Menschenverstand verstößt, kann daraus resultierende Folgeschäden schlecht beim Betreiber eines drittklassigen Chat-Accounts geltend machen.

  14. Re: Für eine Speicherung im Klartext

    Autor: Anonymouse 22.11.18 - 11:33

    eidolon schrieb:
    --------------------------------------------------------------------------------
    > Oktavian schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Es geht hier im ein Chat-Account, nicht um Bank- oder
    > > Gesundheitsdaten.
    >
    > Leute haben aber die Angewohnheit dieselben Zugänge für alles mögliche zu
    > nehmen, womit man also viel mehr als Logins für ne Chatseite bekommen hat.

    Stimmt, aber dafür kannst du doch keinen Dritten verantwortlich machen.

  15. Re: Für eine Speicherung im Klartext

    Autor: violator 22.11.18 - 11:35

    Man könnte zumindest argumentieren, dass das ein bekannter Sachverhalt ist, der die Wichtigkeit der Absicherung solcher Daten noch mal in die Höhe schraubt. PW im Klartext geht einfach nicht und sollte direkt schon bestraft werden.

  16. Re: Für eine Speicherung im Klartext

    Autor: andy01q 22.11.18 - 11:36

    Oktavian schrieb:
    --------------------------------------------------------------------------------
    > Und warum 5 und nicht 4 oder 6? Warum nicht 4,50 oder 5,28? Und immer dran
    > denken die Begründung muss sich vor einen Gericht verteidigen lassen. Mir
    > kommen die 5 ziemlich aus der Luft gegriffen vor.
    5¤ ist in etwa die untere Grenze bei der in einem kleinen Betrieb überhaupt sinnvoll verhandelt werden kann, wenn es einen Verstoß gab. (30 Mitarbeiter -> 150¤. Darunter macht es kaum Sinn einen Anwalt zu bemühen)

    5¤ ist dabei ein runder Wert. Ob es jetzt 4,50 oder 5,28 sind soll man am Einzelfall festmachen.
    Oktavian schrieb:
    --------------------------------------------------------------------------------
    > Zudem, macht es wirklich keinen Unterschied, ob das Passwort zu einem
    > Chat-Account gehörte oder zu einem Bankkonto?
    Nein, natürlich macht das einen sehr großen Unterschied
    > Macht es auch keinen Unterschied, ob das Unternehmen zügig an der
    > Aufklärung mitgewirkt hat, oder ob es sich da sehr geziert hat?
    Auch das. Hab ich auch noch schnell reineditiert gehabt, aber danke dass du es anmerkst.

    Mir fällt grad noch ein: Das absichtliche Vertuschen von Datendiebstahl sollte eine Straftat sein, so wie das Vertuschen von Akw-Vorfällen eine Straftat ist.

  17. Re: Für eine Speicherung im Klartext

    Autor: Jakelandiar 22.11.18 - 11:37

    0x8100 schrieb:
    --------------------------------------------------------------------------------
    > 20000¤ bußgeld bei 2mio datensätzen. das ist ein ganzer cent pro datensatz.
    > und das bei einem groben verstoss (klartextpasswort). als user sieht man,
    > wie wenig dem staat die eigenen daten wert sind und für das unternehmen ist
    > es keine wirkliche strafe.

    Text nicht gelesen? Die unternommenen Maßnahmen zusammen mit der Geldstrafe sind im 6 stelligen Bereich. Also mindestens ¤100.000,- an ausgaben. Und im Gegensatz zu dir scheinen die zu wissen was Verhältnismäßigkeit ist.

    Was nützt es nun 10 Millionen an schaden zu fordern wenn die Firma dann dicht macht oder Leute entlassen muss und kein Geld mehr da ist um was an dem Problem zu lösen? Hauptsächlich soll durch sowas die Sicherheit erhöht werden und nicht Firmen vernichtet.

    Leute die jetzt laut rufen das es viel zu billig ist sind doch die ersten die sich nachher beschweren wenn es dann nur noch Großkonzerne im Internet gibt und sonst nichts mehr da sich niemand das sonst leisten kann da mal ein Datenschutz Problem zu bekommen.

  18. Re: Für eine Speicherung im Klartext

    Autor: andy01q 22.11.18 - 11:46

    Jakelandiar schrieb:
    --------------------------------------------------------------------------------
    > Was nützt es nun 10 Millionen an schaden zu fordern wenn die Firma dann
    > dicht macht oder Leute entlassen muss und kein Geld mehr da ist um was an
    > dem Problem zu lösen? Hauptsächlich soll durch sowas die Sicherheit erhöht
    > werden und nicht Firmen vernichtet.
    Firmen, die sich in Sachen Datenschutz lernresistent zeigen sollen auf jeden Fall vernichtet werden.
    Das gilt für alle Firmen die durch verantwortlungsloses Handeln eine Gefahr für die Allgemeinheit darstellen.

    Jakelandiar schrieb:
    --------------------------------------------------------------------------------
    > Die unternommenen Maßnahmen zusammen mit der Geldstrafe
    > sind im 6 stelligen Bereich.
    Die Maßnahmen muss die Firma sowieso stemmen. Wenn ein Chemiewerk 200.000¤ an Maßnahmen einleitet um nicht nochmal Gift in den Fluss zu leiten kannst du doch auch nicht die 200.000¤ an die Bestrafung anrechnen, das ist absurd. Und wenn die Strafe 20.000¤ beträgt und die Wahrscheinlichkeit erwischt zu werden unter 90% liegt, dann müsste im Prinzip jedes Chemiewerk, dass nicht erstmal den Fluss vergiftet von seinen Aktionären verklagt werden.



    1 mal bearbeitet, zuletzt am 22.11.18 11:47 durch andy01q.

  19. Re: Für eine Speicherung im Klartext

    Autor: Oktavian 22.11.18 - 11:50

    > Firmen, die sich in Sachen Datenschutz lernresistent zeigen sollen auf
    > jeden Fall vernichtet werden.

    Nicht ohne Grund sieht die DSGVO ja in solchen Fällen recht empfindliche Strafen vor, die auch mehrfach bei wiederholten Verstößen verhängt werden können. 4% vom weltweiten Konzernumsatz sollten jedes Unternehmen disziplinieren können.

    Hier war aber das krasse Gegenteil der Fall. Die Firma ist erstmalig auffällig geworden, hat in vollem Umfang kooperiert und alle empfohlenen Maßnahmen zügig und vollständig umgesetzt. Zudem hantiert die Firma nicht mit besonderen Daten und hat aus dem Datenschutzverstoß keinen Gewinn gezogen. Ja, es war dämlich, keine Frage, aber man hat den Verstoß nicht vorsätzlich begangen, um sich da den Daten zu bereichern.



    1 mal bearbeitet, zuletzt am 22.11.18 11:52 durch Oktavian.

  20. Re: Für eine Speicherung im Klartext

    Autor: andy01q 22.11.18 - 12:02

    Oktavian schrieb:
    --------------------------------------------------------------------------------
    > Nicht ohne Grund sieht die DSGVO ja in solchen Fällen recht empfindliche
    > Strafen vor, die auch mehrfach bei wiederholten Verstößen verhängt werden
    > können.
    Wie oft können die bitte verhängt werden?
    > 4% vom weltweiten Konzernumsatz sollten jedes Unternehmen
    > disziplinieren können.
    Da hab ich meine Zweifel. Für eingesessene Unternehmen, insbes. bei mehrfacher Anwendung auf jeden Fall, aber wenn ein Unternehmen - wie im digitalen Bereich so oft - erstmal nur auf Expansion setzt und nahe 0 Einnahmen hat, dann sind 4% auf einmal ziemlich wenig.
    Aber das ist hilft uns auch so und so nicht weiter, da wir den Jahresumsatz von Knuddelz nicht kennen.
    > Hier war aber das krasse Gegenteil. Die Firma ist erstmalig auffällig
    > geworden, hat in vollem Umfang kooperiert und alle empfohlenen Maßnahmen
    > zügig und vollständig umgesetzt.
    Wie lange hantierte die Firma mit Klartextpasswörtern? Ansonsten ja, vieles spricht dafür die Strafe für Knuddels im unteren Bereich anzusetzen.
    > Zudem hantiert die Firma nicht mit
    > besonderen Daten
    Das ist ein Chatportal. Abgesehen davon, dass das Verschleudern gesicherter Passwörter immer schlimm ist ist ein Chatportal bei dem ein Angreifer die Möglichkeit bekommt sich in vielen verschiedenen Themen als jemand anderes auszugeben besonders schlimm.
    > und hat aus dem Datenschutzverstoß keinen Gewinn gezogen.
    Das ist falsch. Die nötigen Investitionen wurden nicht getätigt wodurch der Gewinn gesteigert wurde, das passt genau in mein Beispiel mit dem Chemiewerk.
    Das DSGVO befasst genau solche Verstöße bei denen Investitionen in Zeit und/oder IT-Know How nicht in ausreichender Höhe getätigt werden. Wenn die Daten im Klartext gespeichert worden wären um die Möglichkeit zu haben z.B. den Handel auf der Plattform zu infitrieren und direkten Gewinn daraus zu ziehen, dann wären ganz andere Gesetze anwendbar.

  1. Thema
  1. 1
  2. 2
  3. 3
  4. 4

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Anwendungsentwickler CAD (m/w/x)
    HOTTGENROTH & TACOS GmbH, Münster
  2. Anwendungsentwickler SAP ABAP (m/w/d)
    Privatbrauerei ERDINGER Weißbräu Werner Brombach GmbH, Erding
  3. Web-Developer / Front-Entwickler (m/w/d)
    BWS Consulting Group GmbH, Dortmund, Hannover, Wolfsburg
  4. Technische Referenten (m/w/d) - Abteilung Informationsfreiheitsgesetz, Technologischer Datenschutz, ... (m/w/d)
    Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Bonn

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 499,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


  1. Smartphones: Googles neue Funktionen für Android
    Smartphones
    Googles neue Funktionen für Android

    Google hat eine Reihe von Verbesserungen für Android-Smartphones vorgestellt. Einiges davon wird in den nächsten Tagen aktiviert.

  2. Halbleiterproduktion: TSMC will klimaneutral werden
    Halbleiterproduktion
    TSMC will klimaneutral werden

    Der Chiphersteller TSMC hat angekündigt, bis 2050 seine Emissionen auf "Netto-Null" zu senken - setzt dabei aber auch auf fragwürdige Kompensationsprojekte.

  3. USA: Adblocker gegen Hacker und Geheimdienste
    USA
    Adblocker gegen Hacker und Geheimdienste

    Geheimdienste in den USA nutzen Adblocker, andere Behörden offenbar nicht. Ein US-Senator warnt daher vor Hacking und Erpressung.


  1. 09:20

  2. 09:00

  3. 08:34

  4. 08:16

  5. 08:01

  6. 07:48

  7. 07:33

  8. 07:18