Panama Papers: das Resultat einer vernachlässigten IT Security
Finanzwelt, Justiz und Politik wurden durch sie spürbar durcheinander gebracht: die Panama Papers. Aber wie konnten Unbekannte 2,6 Terabyte an Daten bei Mossack Fonseca einfach so entwenden?
Einflussreiche Politiker und Industriekapitäne, sowie einige Spitzensportler scheinen über Offshore-Unternehmen in großem Maßstab Steuern hinterzogen zu haben oder, wenn man es etwas diplomatischer ausdrücken möchte, den Fiskus umgangen zu haben. Nicht per Definition strafbar, aber moralisch verwerflich, wird meist schnell hinzugefügt.
Aber es gibt noch einen Bereich, der sich zu diesem Mega-Datenleck noch nicht geäußert hat: die IT Security-Welt. Es ist noch nicht klar, wie genau dieses Datenleck zustande kam. Mossack Fonseca (MF), das juristische Beratungsunternehmen, dem 2,6 Terabyte (!) an Daten entwendet wurden, geht selbst davon aus, dass die Daten über einen gehackten E-Mail-Server und einen „Angriff auf die Datenbank“ gestohlen wurden, gibt aber keine weiteren Details preis. Das Unternehmen gab an, eine gründliche Untersuchung veranlasst zu haben.
Glücklicherweise ist die IT-Security-Welt bei derartigen Geheimnissen sehr hilfsbereit. Verschiedene Sicherheitsexperten haben sich bereits auf die Sache gestürzt, was inzwischen bereits zu mehreren plausiblen, gut untermauerten Theorien führte. Und die sind wirklich erschreckend. Ich werde einige Sicherheitsschnitzer durchgehen, wobei ich natürlich nicht sicher sein kann, dass der tatsächliche Modus Operandi mit einer dieser Schwachstellen zu tun hat.
Für die ersten acht Theorien gilt, dass ein erheblicher Mangel an Informationssicherung und IT-Schutz vorlag. Für die letzte Theorie gilt dies nicht unbedingt, obwohl es mit Sicherheit Technologien gibt, die einen „Inside Job“ stark erschweren. So kann beispielsweise der Zugang zu sensiblen Daten nur auf die Personen beschränkt werden, die selbst mit der betreffenden Angelegenheit befasst sind oder die Anfertigung digitaler Kopien von Daten in der Datenbank kann verhindert werden. Ein sehr motivierter Datendieb kann natürlich noch immer Fotos von seinem Bildschirm machen oder altmodisch Bleistift und Papier zur Hand nehmen, aber das schafft niemand mit 11,5 Millionen Dokumenten, die 2,6 Terabyte an Informationen ausmachen.
Panama Papers: das Resultat einer vernachlässigten IT Security
Weil dieses Datenleck ein Symptom eines Problems ist, dass sich in allen Sektoren zeigt. Laut dem Informationssicherheitsexperten Dr. Daniel Dresner ist eine schlechte IT- und Informationssicherung in Anwaltskanzleien eher die Regel als die Ausnahme. Und das, obwohl gerade Anwaltskanzleien Unternehmen sind, die über Informationen verfügen, die vertraulich bleiben müssen. Außerdem arbeiten in Anwaltskanzleien überdurchschnittlich intelligente Menschen, die auch noch überdurchschnittliche Kenntnisse des Gesetzes haben. Sie können sich also kaum hinter der Entschuldigung „Ich wusste nicht, dass wir verpflichtet sind, unsere Kundendaten gründlich zu schützen“ verstecken. Ich kann mir daher vorstellen, dass es in anderen Sektoren noch viel schlechter um den Schutz von Informationen bestellt ist.
Was das betrifft, kann meiner Meinung nach die neue Datenschutzrichtlinie der Europäischen Kommission, die eine derart lasche Haltung in Zusammenhang mit dem Schutz von Informationen vollkommen illegal macht, gar nicht schnell genug in Kraft treten. Allerdings befürchte ich, dass dies alles erst wirklich Eindruck macht, wenn die ersten Bußen in Millionenhöhe verhängt sind.
Dieser Artikel wurde von Eddy Willems ursprünglich im belgischen Online-Magazin knack.be veröffentlicht.