Verantwortungsvoller Umgang mit Daten - auch nach einem Security Incident

Man will es kaum glau­ben, aber man kann im Falle von Da­ten­dieb­stahl auch gute Pres­se be­kom­men. Es kommt dar­auf an, wie man sich in so einem Fall ver­hält.
An der Uni­ver­si­ty of Con­nec­ti­cut wurde auf einem Rech­ner, auf dem sich per­sön­li­che Daten tau­sen­der Stu­den­ten und Mit­ar­bei­ter be­fan­den, ein Root­kit ent­deckt. Das an­schlie­ßen­de Vor­ge­hen der Ver­ant­wort­li­chen wurde po­si­tiv auf­ge­nom­men, viele wei­te­re In­sti­tu­tio­nen wol­len das Pro­ce­de­re über­neh­men.

Auf dem Rech­ner waren unter an­de­rem die So­zi­al­ver­si­che­rungs­num­mern der Per­so­nen ge­spei­chert - eine Tat­sa­che, die an­de­ren In­sti­tu­tio­nen bei so einem Vor­fall das Ge­nick ge­bro­chen hat. Ei­gent­lich soll­te ein sol­cher Ein­bruch nicht pas­sie­ren - aber falls doch, ist ein Vor­ge­hen in die­ser Art si­cher nicht schlecht:

- Keine Panik, be­son­ne­nes Vor­ge­hen und Scha­dens­ana­ly­se. Dies hat in die­sem Fall wohl ge­zeigt, daß das Root­kit fak­tisch nicht ge­nutzt wurde.
- Pro­blem kom­mu­ni­zie­ren - und zwar in einer sach­li­chen, all­ge­mein­ver­ständ­li­chen Art. Das beugt wohl der Pa­nik­ma­che sei­tens der Pres­se und bei den Be­trof­fe­nen vor.
- Die Be­trof­fe­nen aktiv in­for­mie­ren an­statt sie die Nach­richt aus der Pres­se er­fah­ren zu las­sen.
- Die Be­trof­fe­nen nicht im Regen ste­hen las­sen. Hier wurde bei­spiels­wei­se ein Por­tal für die Be­trof­fe­nen ein­ge­rich­tet, das sie über den Stand der Er­mitt­lun­gen in­for­miert, aber auch In­for­ma­tio­nen für den "Fall der Fälle" bie­tet. So fin­det man hier bei­spiels­wei­se ge­naue In­for­ma­tio­nen, wie vor­zu­ge­hen ist, wenn man den Ver­dacht hat, daß je­mand die ei­ge­nen per­sön­li­chen Daten für das An­le­gen von Kon­ten oder Kre­dit­kar­ten miß­braucht.
- Und na­tür­lich: Les­sons lear­ned. Beim nächs­ten Mal bes­ser ma­chen, und an­de­re an dem Wis­sen teil­ha­ben las­sen. Hier ist nicht nur die Rech­ner­si­cher­heit di­rekt ge­meint, man denkt wohl auch am dor­ti­gen Cam­pus dar­über nach, wie man da­ten­spar­sa­mer ar­bei­ten kann oder wo sich die So­zi­al­ver­si­che­rungs­num­mer als Iden­ti­fi­ka­ti­on ver­mei­den läßt.