Follow

"Durch eine Sicherheitslücke verschafften sich Unbekannte Zugriff auf Conrad-Server mit 14 Millionen Kundendatensätzen."

For the record: Jedes System, das mit dem Internet verbunden ist, kann "gehackt" werden. Egal wie gut es abgesichert ist. Das gilt auch für meinen WordPress-Blog. Daher sollte man sich stets fragen: Sollen Systeme, die sensible Daten verarbeiten ans Netz? Wenn ja, wie kann man diese bestmöglich schützen.

@kuketzblog Muss übrigens jeder Datenschutzbeauftragte in der Risikoabschätzung machen und die Sachen dann empfehlen ;)

@Drezil Das wird in der Praxis leider selten durchgeführt - jedenfalls bei einigen Unternehmen, die ich kennenlernen durfte. :-/

@kuketzblog Naja .. der DSB ist halt dann in der Privathaftung .. oder das Unternehmen, wenn es die Empfehlungen wieder besseres Wissen nicht umsetzt...

aber dazu muss erstmal ein Betroffener Klagen -.-

Hab mich zu Beginn mal damit beschäftigt, da wir nen Startup-Idee hatten DSB Software zur Verwaltung zu lizensieren..

@kuketzblog wie soll denn conrad onlinebestellungen machen mit kundendaten die nicht ans internet angeschlossen sind.

@lain Bin ich bei dir. Für Bestellungen müssen die Daten ja verarbeitet werden. Dann kommt aber Punkt 2 ins Spiel: "Wie kann ich diese bestmöglich schützen".

So gelingt das natürlich nicht:"Der Grund für den Vorfall war offenbar eine ungesicherte Elasticsearch-Datenbank."

golem.de/news/elasticsearch-da

@kuketzblog Hmm... die hatte ich sowieso auf der Liste für zukünftige DSGVO Abfragen...
Ich warte mal ein paar Wochen ab.

@Mike Kuketz :mastodon:
Planung für den Ernstfall!!! Es ist nicht die Frage ob ein Webservice gehackt wird sondern wann.
Wenn man bei der Planung diesen Umstand berücksichtigt, dann versucht man automatisch die Angriffsfläche z.B. durch abschalten unnötiger und unsicherer Dienste zuverringern und lässt auch nur die absolut notwendigen Daten auf dem Server liegen.
Dabei kann man sich auch gleich um die organisatorischen Sachen kümmern. Wie gehe ich bei einem Hack vor...
Das Problem ist immer noch ein falsches Mindset. Wer will uns schon hacken...

@kuketzblog es wird Zeit, dass ich als Kunde bei solchen Vorfällen Schadenersatz fordern kann... Dieses mangelhafte Vorgehen vieler Unternehmen in Sachen IT Sicherheit muss fett bestraft werden... Und ein versierter IT'ler einer Datenschutzbehörde :awesome: muss denen bei grob fahrlässigem Handeln gleich noch eine so dicke Strafzahlungen geben, dass sie sich über Jahre davon erholen müssen.

Oder was würdet ihr machen, wenn euer Goldbarren im Tresor eurer Bank des Vertrauens gestohlen wird...?!

@Danijel  @Mike Kuketz :mastodon:
Guter Witz!
Hier einer von mir:
Produkthaftung für Software
Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!