Ansicht umschalten
Avatar von manduki
  • manduki

244 Beiträge seit 03.01.2004

Re: Verfahren im Umgang mit"vulnerabilities"

klausgh schrieb am 31.08.2024 03:46:

Datenbestände, die aus dem Internet erreichbar sind, sind besonders zu schützen. Aber solange die Daten via Internet erreichbar sein sollen, gibt es keine absolute Sicherheit. Es gibt letztlich nur verschiedene Grade der „vulnerability“. Es geht aber zentral darum, insbesondere personenbezogene Daten zu schützen. Dies ist das primäre Interesse. Daher hat sich ein Standardverfahren im Zusammenhang mit entdeckten Schwachstellen etabliert:
1) Der „Eigentümer“ / Admin der Webseite (Datenhaltungssystem) ist über die Schwachstellen zu informieren. Alle diesbezüglich verfügbaren Informationen werden ihm zur Verfügung gestellt.
2) Dem „Eigentümer“ / Admin der Webseite (Datenhaltungssystem) wird eine Frist (abhängig von der Gravidität der Schwachstelle) zur Behebung eingeräumt.
3) Danach (in gravierenden Fälle ggf. auch parallel) wir die zuständige Aufsichtsbehörde (Datenschutzbeauftragter) über das entdeckte Problem informiert.
4) Erst, wenn keine Abhilfe innerhalb einer vertretbaren Frist erfolgt, wird in Abstimmung mit der zuständigen Behörde die erkannte Schwachstelle (ohne weitere technische Angaben) öffentlich gemacht.
5) Nachdem das Problem behoben wurde und die Sicherheit der Daten gewährleistet ist, dürfen technische Details der Schwachstelle veröffentlicht werden.

Correctiv hat sich offensichtlich (möglicherweise aus Eigeninteresse) nicht an dieses Verfahren gehalten. Vielmehr hat es versucht, die Schwachstelle durch Verwendung der Daten zum eigenen Nutzen zu verwenden. Sie haben offensichtlich primär nicht auf einen Beitrag zur Behebung des Problems fokussiert, sondern umgekehrt die Daten für ihre Arbeit verwendet. Vor diesem Hintergrund trägt die Bekanntmachung des vulnerability eher denunziatorisch Züge.

Hat sich der vom BSW hochgeehrte Assange an dieses angebliche Standard-Verfahren gehalten? Das Hinterfragen von Verfehlungen politischer Parteien durch Journalisten ist grundsätzlich im öffentlichen Interesse. Das BSW sollte aufhören, sich hier zum Opfer zu stilisieren.

Bewerten
- +
Ansicht umschalten