Zunächst wurde viel spekuliert: Über die Motive, die Hintergründe und die Herangehensweise. Jetzt ist der mutmaßliche Täter gefasst (als Motiv gab er „Verärgerung über öffentliche Äußerungen der betroffenen Politiker, Journalisten und Personen des öffentlichen Lebens“ an) und es handelt sich Mitnichten um einen „Mega-Hack“, sondern um den wohl spektakulärsten Doxing-Fall Deutschlands. Ich verzichte bewusst auf ein „nur“, da Doxing durchaus für die Opfer schwerwiegende Konsequenzen nach sich ziehen kann.
Zurecht wurde immer wieder darauf hingewiesen, dass es sich bei den geleakten Daten (neben den frei zugänglichen Informationen) um Daten aus Privat-Accounts handelt. Diese Relativierung ist aus zweierlei Gründen problematisch: Zum einen vermischen sich in der Praxis Privat- und Firmen- bzw. offizielle Accounts (man denke an die E-Mail-Affäre um Hillary Clinton), zum anderen geht es ja um die gleichen Personen. Sicherlich gibt es in Unternehmen andere Sicherheitsstandards, wenn aber hier Menschen arbeiten, deren Sicherheitsverhalten im Privatleben lax ist, wieso sollte dies bei der Arbeit anders sein? Vielleicht ist der Fall ja tatsächlich ein Weckruf für mehr Datensicherheit und eine größere Sensibilisierung bei jedem einzelnen Nutzer, egal in welchem Umfeld er sich gerade bewegt. Tragen hierzu die geplanten neuen Behörden und Gesetze bei, ist dies natürlich zu begrüßen. Wesentlich – und das können eben in aller Regel Gesetze nur bedingt – muss ein Umdenkprozess beginnen. Hierzu müssen auch die Unternehmen beitragen – etwa durch entsprechende Schulungen.
Aber auch alle Sensibilisierungen können nicht für einen hundertprozentigen Schutz sorgen. Irgendjemand wird irgendwann irgendetwas tun, was die Unternehmenssysteme kompromittiert (Stichwort Phishing). Und auch in Unternehmen kann es Mitarbeiter geben, die gelangweilt sind oder sich über ihren Arbeitgeber geärgert haben. Für diese Fälle müssen Unternehmen vorsorgen, etwa durch eine intelligente Analyse des Nutzerverhaltens. Vor allem aber müssen sie IT-Sicherheit vorleben, was dann auch einen Effekt auf das private (Security-)Verhalten der Mitarbeiter haben sollte. Zeit zum Verschnaufen ist freilich nicht: So wurde etwa der gefährliche Trojaner Emotet um neue Funktionalitäten erweitert und wird auch in den nächsten Wochen eine große Bedrohung für die Unternehmensnetze darstellen.
#Netzpalaver #Varonis