Wagenknecht-Partei von Datenleck betroffen
So titelte der Spiegel am 14.03.2024.
Es geht um Infos von rund 35.000 Unterstützern und Interessenten: Unbefugte konnten wohl auf Daten des Bündnis Sahra Wagenknecht zugreifen.
Quelle: Spiegel . 14.03.2024
Das kann man nun glauben oder nicht. Denn es stellt sich die Frage, wo dieses Datenleck entstanden ist. Hier dazu ein Statement von unserem IT-Profi:
Da das BSW – genau wie wir bei Restart4Future – auf ihrer WordPress-Seite ein „Standard“-Spenden-Plugin benutzt, habe ich als Fachmann mal genauer untersucht, was der Verein BSW eventuell falsch gemacht haben könnte. Ich halte es für eher unwahrscheinlich, dass wirklich 35.000 Einträge betroffen sind.
Quelle: Restart4Future – Werner Noske – 15.03.2024
Analyse des Spendenprozesses
Die Redaktion des Spiegel behauptet konkret, über 5.346 Datensätze im Zusammenhang mit Spenden an den Verein zu verfügen. Die betroffenen Daten sollen solche Spenden betreffen, die über das Spendenformular auf der Internetseite unseres Vereins vorgenommen wurden. Betroffen sind nach derzeitiger Kenntnis des Vorstands Daten von Spendern, deren Spenden bis zum 13.01.2024 über das genannte Spendenformular erfolgten. Betroffen sind nach derzeitigem Stand Vorname und Name, E-Mail-Adresse und nur teilweise die Spendenhöhe, aber keine Adress- oder Kontoverbindungsdaten und Telefon- oder Mobilfunknummern.
Quelle: BSW Newsletter – 15.03.2024
Wie und wohin wurden die Daten übermittelt?
BSW nutzt – wie man am Quellcode des Spendenformulars sehen kann, den Spenden-Dienstleister Twingle. Die im Formular eingetragenen Daten werden also im ersten Schritt an einen Server bei denen bzw. deren Dienstleister geschickt, dort weiterverarbeitet und über einen Online-Zugang für autorisierte Mitarbeiter des Vereins abrufbar gemacht.
Das gleiche passiert auch bei allen anderen namhaften Kunden von twingle wie Oxfam, BUND, Amnesty International und Netzpolitik.org. Die Software an sich ist also wohl ausgereift und grundsätzlich gegen Cyberangriffe gut abgesichert. insbesondere wenn es um Kontodaten geht. Sonst wären wohl längst auch Datenleaks nicht nur beim BSW aufgetreten.
Twingle schreibt: Sicherer und grüner Betrieb – unsere Server stehen in ISO27001-zertifizierten Rechenzentren in Deutschland und werden zu 100% mit Ökostrom betrieben
Der Ökostrom verhindert natürlich keine Leaks – und in Rechenzentren haben auch einzelne Mitarbeiter Zugang. Aber es ist genau bekannt, wer Zugriff auf einen Server erlangen kann und es werden viele Spuren hinterlassen. Theoretisch könnte sich dort natürlich ein Techniker Zugriff auf die gespeicherten Daten verschaffen. Viel wahrscheinlicher ist es aber, dass jemand von außen einfach Zugriff auf die Zugangsdaten für die Daten erlangt hat und diese dann als „Liste“ abrufen konnte.
- Vorname
- Name
- E-Mail-Adresse
- Betrag
ist eine typische Liste für Mitarbeiter, die etwas mit der Vereinsbuchhaltung zu tun haben oder damit, Dankesschreiben und Spendenquittungen an die Spender zu verschicken. Die Liste muss jedoch offensichtlich als Excel-Datei oder ähnliches vorgelegen haben. Denn ausgedruckt sind das etwa 1.000 DIN-A4-Seiten, die wohl kaum einer unbemerkt aus dem Büro zum Spiegel schaffen kann.
Es sollte also geprüft werden, an welcher Stelle in diesen Bereichen vielleicht ein U-Boot eingeschleust wurde, um dem BSW zu schaden – und wo es da Sicherheitslücken in Bezug auf die Einhaltung der DSGVO gibt.
Es ist wohl eher so, dass da „befugte Laien“ auf die Daten zurückgegriffen haben – und nicht Unbefugte, wie der Spiegel schreibt.
Werner Noske – 15.03.2024
Kann man so etwas verhindern?
Letztlich wohl kaum. Sahra Wagenknecht und ihre Mitstreiter sind Prominente mit Millionenwert. Und wo es um viel Geld geht, wird auch viel kriminelle Energie freigesetzt.
Dass so etwas bereits in der Startphase der Parteigründung passiert, zeigt, dass die Partei gefürchtet und als möglicher Systemveränderer gesehen wird.
Wie kann man die Gefahr solcher Leaks reduzieren?
Man muss gemäß DSGVO
- transparente, nachvollziehbare Prozesse vorgeben,
- genau definieren, wer Zugriff auf welche Daten haben darf,
- nachvollziehen können, wer auf welche persönlichen Daten Zugriff genommen hat,
- diese Mitarbeiter auf die Geheimhaltung verpflichten.
Und man sollte
- einen professionellen Datenschutzbeauftragten einsetzen, der sich auskennt oder zumindest
- einen Unterstützer einsetzen, der die DSGVO-Masterclass kennt und intensiv durchgearbeitet hat.
- Bei Restart4Future haben wir so einen…