Blog

ein Webangebot von rotering-net.de

Don’t count on me

Ein 19-jähriger Kanadier aus der Provinz Nova Scotia wurde letze Woche verhaftet, weil er öffentlich verfügbare Dokumente heruntergeladen hat, deren Dateinamen er vorhersehen konnte. Ihm wird der unautorisierte Gebrauch eines Computersystems vorgeworfen. Ihm drohen bis zu 10 Jahre Gefängnis.

Grunge Warning Sign von Nicolas Raymond

Aber der Reihe nach. Der junge Kanadier will sich beim Informationsfreiheitsportal seiner Provinz über Arbeitsniederlegungen der örtlichen Lehrerschaft informieren. Beim Informationsfreiheitsportal können Bürger Informationen anfragen, die über das Anfragethema oder sie selbst staatlicherseits gespeichert sind. Informationen über allgemeine Anfragethemen werden nachher üblicherweise zum öffentlichen Abruf auf die Website gestellt.

Doch der junge Mann findet auf die Schnelle nicht, wonach er sucht. Ihm fällt jedoch auf, dass die Dateinamen der Dokumente, die er bei seiner Recherche herunterlädt, immer den gleichen Namen haben, nur unterschieden durch eine nachgestellte Zahl. Die Zahl erscheint ihm dabei alles andere als zufällig und so konfiguriert er ein Tool, welches nach dem immer gleichen Muster die Dokumente abruft und dabei nur im Dateinamen die Zahl hochzählt („file0001.pdf“, „file0002.pdf“, „file0003.pdf“, …). Er lässt das Tool über Nacht laufen und bis zum nächsten Morgen gelangen so etwa 7000 Dokumente auf seinen PC.

Die massenweisen Abrufe bleiben beim Serverbetreiber nicht unbemerkt. Was der junge Kanadier zu diesem Zeitpunkt noch nicht weiß: unter den 7000 Dokumenten befinden sich auch etwa 250 mit persönlichen Informationen über einzelne Bürger, die Anfragen zu Ihrer Person gestellt hatten, und die deshalb nicht öffentlich verlinkt sind. Anstatt sich zu fragen, warum die Dokumente mit den äußerst sensiblen Informationen trotzdem ohne jede Schutzvorkehrung öffentlich abrufbar sind, schaltet man die Polizei ein.

Die Polizei kann die Quelle der Anfragen leicht zurückverfolgen, denn der junige Kanadier hat keinerlei Maßnahmen getroffen, die Anfragen zu verschleiern. Er hatte ja gar nicht die Intention etwas Verbotenes zu tun. Am Mittwochmorgen stürmen 15 Polizisten die Wohnung der Familie, stellen die komplette Wohung auf den Kopf und konfiszieren jegliche internetfähigen Geräte. Nachdem klar ist, dass die Anfragen vom Rechner des 19-jährigen kamen, verhaften sie ihn. Die gesamte Familie wird zum Verhör ebenfalls auf die Polizeistelle gebracht. Sein jüngerer Bruder, der bereits auf dem Weg zur Schule war, wird dort abgefangen und ebenfalls vorläufig festgenommen.

Die Staatsanwaltschaft klagt den jungen Kanadier nun wegen der unautorisierten Nutzung eines Computersystems an. Ein Delikt, auf das bis zu 10 Jahre Freiheitsstrafe stehen. Das Informationsfreiheitsportal dagegen hielt es indes nicht für nötig, die betroffenen Bürger über ihre abhanden gekommenen Daten zu informieren. Auf Nachfrage, warum man dieser Verpflichtung nicht nachgekommen sei, verwies man zunächst auf die Polizei, die dies aus ermittlungstechnischen Gründen verlangt hätte. Als die Polizei jedoch richtigstellte, dass es niemals eine solche Anweisung gegeben hätte, verwies man stattdessen auf einen ungenannten Mitarbeiter, der dies ohne Rücksprache mit den Vorgesetzten verzögert hätte.

Es klingt wie eine verkehrte Welt. Anstatt dass sich die Provinzregierung dafür zu verantworten hat, warum persönliche Informationen ohne jegliche Schutzvorkehrung wie Passwortschutz oder Rechtemanagement online für jedermann abrufbar sind, der das Dateinamenmuster vorhersehen kann, wird ein 19-jähriger zum Sündenbock erklärt, der nun Angst um seine Zukunft haben muss. Selbst wenn die Anklage fallen gelassen oder er vor Gericht freigesprochen werden sollte, sendet dieser Fall dennoch die falschen Signale. Schutz von persönlichen Daten muss durch geeigenete Schutzmaßnahmen erfolgen, nicht indem man jene einschüchtert, die über solch eklatante Sicherheitslücken stolpern könnten.

Quellen