Slur.io – eine risikoreiche Plattform

it-sicherheit 49
Fachbeitrag

Um dem Denunziantentum zu frönen oder sich idealistisch an der Befreiung von allerlei Informationen zu beteiligen, gibt es nun eine neue Plattform: slur.io. Wir geben einen Überblick und weisen auf die Gefahren hin.

Was ist Slur?

Noch gibt es keine beta- und damit nutzbare Version von Slur, aber Mitte 2015 soll es soweit sein: Dann kann jeder, der Daten beliebiger Art für Geld anonym an die Weltöffentlichkeit bringen will, dies tun.

Wie funktioniert das Konzept von Slur?

Das System von Slur soll so einfach wie Ebay funktionieren. Ein Verkäufer lädt die Daten, die er dem Markt zuführen will, verschlüsselt hoch. Dies können beispielsweise Nacktbilder von volljährigen oder minderjährigen Promis oder Privatpersonen, Geschäftsgeheimnisse, Kriegsstrategien oder Liebesbriefe sein. Kurz: Dem Inhalt der Informationen sind keine Grenzen gesetzt.

Er gibt dazu eine Kurzbeschreibung der Informationen ab, damit potentielle Bieter entscheiden können, ob und wie viel Geld sie bieten wollen.

Bezahlt wird mit der digitalen Währung Bitcoin.

Bietvorgang

Bieter können alleine oder in Zusammenschlüssen eine Information erwerben. Ist ein alleiniger Bieter Gewinner der Auktion, erhält nur er den Schlüssel zur Dechiffrierung der Information. Da eine bereits versteigerte Information kein zweites Mal angeboten werden darf, kann er sie damit theoretisch vor der Veröffentlichung schützen. Die unterlegenen Bieter bekommen ihr hinterlegtes Geld zurück. Erhält ein anonymer Zusammenschluss von Bietern den Zuschlag, wird die Information allen Mitgliedern von Slur und somit einer breiten Öffentlichkeit zur Verfügung gestellt.

Sollte ein Bieter mit der erhaltenen Information unzufrieden sein, kann er den Fall vor sogenannte Vermittler bringen. Dies sind 5 von den Betreibern der Plattform zufällig ausgewählte Mitglieder, die sodann mehrheitlich darüber entscheiden, ob die tatsächlich geleakte Information mit der anfänglich gegebenen Kurzbeschreibung übereinstimmt.

Keine ganz originelle Idee

Die zugrundeliegende Idee ist indes nicht ganz neu: Mit nxt.org und openbazaar gibt es bereits Plattformen, auf denen verschiedenste Waren anonym gekauft und mit Bitcoins bezahlt werden können.

Welche Probleme stellen sich?

Förderung krimineller Aktivitäten?

Zuallererst stellt sich die Frage, inwiefern zugunsten der Informationsfreiheit auch die Förderung krimineller Aktivitäten in Kauf genommen werden muss. Das eine bringt zwar das andere nicht zwangsläufig mit sich. Es ist auch nicht unbedingt hilfreich, jedes zweifelhafte neue Geschäftsmodell direkt mit drastischen Begriffen wie „Kinderpornographie“ und „Terrorismus“ zu konfrontieren. Eine Plattform jedoch, deren Geschäftsmodell es ist, jegliche Form sozialer oder rechtlicher Kontrolle auszuschließen, bietet den Handel mit illegalen Inhalten geradezu an. Die Nachfrage daran ist zweifellos gegeben.

Wer hat Zugriff auf die Daten?

In diesem Kontext drängen sich zwei Überlegungen auf:

Sollten sich die Seitenbetreiber Zugriff auf die Daten verschaffen können, besteht auch das Risiko, dass Sicherheitsbehörden die Betreiber zwingen, sowohl die Informationen als auch die Daten der Verkäufer preiszugeben.

Außerdem könnten die Seitenbetreiber selbst die Daten über einen gewissen Zeitraum sammeln und zum geeigneten Zeitpunkt veräußern oder zu anderen Zwecken ge(miss-)brauchen.

Bitcoin

Die digitale Währung Bitcoin ist grundsätzlich nicht anonym. Bezahlt ein Datenanbieter mit seinen bei Slur verdienten Bitcoins später bei einem anderen Geschäft, kann er anhand der Blockchain zurückverfolgt werden. Slur bietet allerdings den Service eines Bitcoin-Mixers für hinterlegte Gelder, wodurch die jeweiligen Bitcoins einer Person nicht mehr zugeordnet werden können. Selbst diese Anonymität ist zweifelhaft: entweder handelt es sich um einen bekannten Bitcoin-Mixer, auf den sich Sicherheitsbehörden Zugriff verschaffen könnten. Oder es handelt sich um einen anonymen, auf den nicht überprüfbare andere Personen(gruppen), möglicherweise sogar die Betreiber der Seite, Zugriff haben könnten.

Dazu kommt, dass nicht ganz ausgefeilte Mixer bei der Verarbeitung großer Datenmengen langsam und manchmal auch unzuverlässig beim Austausch werden.

Im Prinzip ist ein Bitcoin-Mixer eine Geldwaschanlage mit allen Problemen, die auch eine konventionelle Geldwäsche mit sich bringt.

Hätte Snowden das gewollt?

Selbst wenn die Motivation zur Erstellung der Seite war, die Informationsfreiheit des Volkes zu stärken und somit als ehrenwert gelten kann, muss dies keinesfalls auch für die Nutzer der Plattform gelten.

Voraussichtlich werden nicht nur Daten über zweifelhafte Taten von Regierungen, Regierungsorganisationen, Militär und Großkonzernen mit Monopolstellung angeboten, sondern auch Geschäftsgeheimnisse von Mittelständlern und Listen mit personenbezogenen Daten normaler Bürger. Insofern wird es nicht (nur) eine Plattform sein, auf der Whistleblower relativ geschützt auf Missstände, die die Mehrheit der Bürger betreffen, hinweisen können. Vielmehr wird hier teilweise durch Erpressung, teilweise durch überzogenes Wettbewerbsdenken Geld verdient werden, indem Kundendatenbanken, Betriebsgeheimnisse, Forschungsberichte, Email-Korrespondenzen usw. zum Verkauf angeboten werden. Dies verstößt klar gegen geltendes Recht in verschiedensten Bereichen, in jedem Fall auch gegen das Datenschutzrecht.

Leidtragende werden vor allem die sein, die auf das Geschehen den geringsten Einfluss haben: die Betroffenen. Sind Bankdaten von Kunden und Patientenakten erst einmal veröffentlicht, gibt es für den Einzelnen kaum etwas, das den Schaden wieder beheben könnte.

Welche Auswirkungen hat das auf angewandten Datenschutz im Unternehmen?

Wenn ein Unternehmen die personenbezogenen Daten seiner Mitarbeiter, Kunden, Patienten, Lieferanten usw. nicht ausreichend schützt und diese dadurch bei Slur versteigert werden können, hat das weitreichende Folgen. Es kann zum einen Schadensersatzforderungen der Betroffenen und Bußgelder der Aufsichtsbehörden nach sich ziehen. Zum anderen kann dem Unternehmen auch ein erheblicher Imageschaden daraus erwachsen. Dieser wird nicht nur Kosten für Gegensteuerungsmaßnahmen verursachen, auch Einnahmen werden ausbleiben, da sich Kunden und auftraggebende Unternehmen aus Eigenschutz abwenden werden.

Umso wichtiger ist es, dass Sie jetzt geeignete Maßnahmen ergreifen, um ein gegebenenfalls noch bestehendes niedriges Schutzniveau auf den aktuellen Sicherheitsstandard anzuheben.

Welche Schritte Sie dazu einleiten müssen und wie Sie im Einzelnen vorgehen sollten, kann Ihnen Ihr externer Datenschutzbeauftragter sagen!

2 Kommentare zu diesem Beitrag

  1. Nie waren unsere Daten so sehr in Gefahr wie heute. Wenn eine Plattform wie slui.io diese Problematik öffentlichkeits- und medienwirksam verdeutlicht, wäre das nicht wünschenswert?

    Schon heute können Sie illegal und sogar legal (!) allerei personenbezogene Daten, Betriebs- und Geschäftsgeheimnisse etc. beschaffen. Was ist an slur.io neu? Regierungen, Behörden, Unternehmen, klassische Kriminelle – sie alle sind bekannt dafür, mehr oder weniger, im Einzelfall oder systematisch, unsere Daten zu missbrauchen. slur.io sorgt für eine Demokratisierung des Datenhandels. Slur.io macht allen bewusst, wie verwundbar wir alle sind. Jedoch ist nicht slur.io für diese Verwundbarkeit ursächlich, sondern viel früher und tiefer liegende Fehler im System.

  2. Die Politik arbeitet ja fleißig daran, die Gesundheitsdatensystem aller Gesetzlich versicherten Deutschen auf zentralen Servern speichern zu lassen. Sollten diese Daten auf so eine Plattform gelangen, dann wird es spannend. Gesundheitsminister Gröhe ist zwar von Haus aus Jurist, hat aber offensichtlich damit kein Problem. Diese Datenspeicherung sollte erst mal mit den Gesundheitsdatensystem aller unserer Spitzpolitiker getestet werden, dann wäre dieser Spuk schnell aus den Gesetzen wieder verschwunden.
    eh

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.