Archiv für den Monat: Februar 2025

Allgemein, Presse

Kooperation mit der Stadt Einbeck

Vergangenes Jahr hatten wir ein Gespräch mit der Stadt Einbeck, nachdem wir eine Datenschutz Lücke gemeldet hatten.

Daraus hat sich ergeben, dass wir am vergangenen Mittwoch eine Vereinbarung unterzeichnet haben, die es uns erlaubt sich in den IT Systemen der Stadt umzusehen und uns gleichzeitig garantiert, dass die Strafverfolgungsbehörden uns nicht mit dem Hackerparagraphen verfolgen können.

Diese Vereinbarung verpflichtet uns aber nicht etwas zu suchen, auch ersetzt diese auf keinen Fall professionelle Netzwerksicherheitstests von Experten.

Details

Es folgt eine Übersicht der Vereinbarung. Diese ist ggf. für andere Stadtverwaltungen und Vereine auch interessant.

  • Die Stadt Einbeck informiert alle beteiligten Dienstleister über diese Vereinbarung.
  • Der Stadt Einbeck ist bewusst, dass es im schlimmsten Fall zu Unterbrechungen im IT Betrieb kommen kann.
  • Der Verein hat sich nicht zum Suchen von IT Problemen verpflichtet. Wir müssen etwaige Aktionen aber vereinsintern dokumentieren und mit dem Vorstand absprechen, um den IT Betrieb so wenig wie möglich zu stören.
  • Der Verein darf Screenshots von vertraulichen Daten anfertigen, aber nicht umfangreich Daten herunterladen. Die Screenshots dienen zur Dokumentation und sind vertraulich zu behandeln bzw. zu anonymisieren.
  • Der Verein hat die Erlaubnis Ergebnisse zu veröffentlichen, nachdem IT Probleme beseitigt wurden, spätestens aber nach zwei Monaten. (Responsible Disclosure)
  • Eine Veröffentlichung soll im besten Fall über eine gemeinsame Pressemitteilung stattfinden.
  • Der Verein erhält keine finanzielle Vergütung.
  • Beide Parteien haften bei Vorsatz und grober Fahrlässigkeit.
  • Die Vereinbarung kann jederzeit von beiden Seiten gekündigt werden.

Unsere Meinung dazu

Die Vereinbarung ist klasse. Wir sind nun auf der sicheren Seite, falls wir über etwas stolpern, was interessant aussieht. Nicht mehr, und nicht weniger.

Wir werden aber auf keinen Fall systematisch nach Schwachstellen suchen. Ebenfalls sind aktive Einbruchsversuche wie im HNA Artikel beschrieben, keine Option:

„Dabei werden die Festplatten von den Hackern verschlüsselt oder die Daten gleich komplett gestohlen. Dann kommt meistens die Forderung nach Lösegeld.“

In den meisten Fällen passiert so etwas über Phishing Emails. Sprich mutmaßliche Rechnungen oder Emails, welche Links zu Schadsoftware enthalten.

So etwas muss von Dienstleistern mit Erfahrung, mit guter Planung und in Absprache mit der Stadtverwaltung durchgeführt werden.

Über den Verein

Der nerdbridge e.V. ist seit zehn Jahren ein Ort für technologiebegeisterte Menschen in der Region Einbeck. Wir treffen uns regelmäßig in unseren Clubräumen zu gemeinsamen Gesprächen und dem ein oder anderen Projekt.