Ein Datenverstoß beim US Marshals Service enthüllte die persönlichen Daten der Gefangenen

Ebenso wie Strafverfolgungsbeamte Verhaltensvorbilder für reguläre Bürger sein sollten, sollten Strafverfolgungsbehörden sowohl privaten als auch staatlichen Organisationen zeigen, was in verschiedenen Situationen zu tun ist und was nicht. Leider läuft es nicht immer so. Der US Marshals Service (USMS) beispielsweise hat kürzlich einen Datenverstoß erlitten, und es muss gesagt werden, dass die Reaktion der Agentur nach einem Vorfall nicht optimal war.

Hacker brechen die Server von USMS und stehlen die persönlichen Daten aktueller und ehemaliger Gefangener

USMS ist Teil des Justizministeriums und hat hauptsächlich die Aufgabe, Flüchtlinge zu fangen und Haftbefehle zu erlassen. Anscheinend werden die persönlichen Daten der Personen, die aufgrund von USMS-Aktionen in Gewahrsam genommen werden, protokolliert und auf einem Server gespeichert. Irgendwann im letzten Jahr wurde dieser Server kompromittiert und die darin enthaltenen Daten wurden gestohlen.

Ende Dezember 2019 informierte das Justizministerium USMS über den Verstoß, und kurz darauf wurde das Loch verstopft. Derzeit identifiziert USMS die betroffenen ehemaligen und gegenwärtigen Gefangenen und informiert sie per Post. Sie haben jedes Recht, über den Vorfall Bescheid zu wissen, da die Hacker während des Verstoßes alle Informationen abgezogen haben, die sie für den Identitätsdiebstahl benötigen. Den Benachrichtigungen zufolge enthielt die gestohlene Datenbank Namen, Geburtsdaten, Sozialversicherungsnummern und Privatadressen von Personen. Nachdem die Betroffenen über den Verstoß informiert worden waren, wurden sie darüber informiert, was sie tun können, um sich vor Identitätsdiebstahl zu schützen.

USMS will nicht über den Verstoß sprechen

USMS hatte offenbar nicht die Absicht, die Bevölkerung über den Datenverstoß zu informieren. Es verschickte die Briefe, ohne etwas anzukündigen, und die Leute erfuhren davon erst, nachdem einige der Empfänger Fotos der Benachrichtigungen in den sozialen Medien geteilt hatten. TechCrunch und ZDNet, die beiden Nachrichtenagenturen, die zuerst über den Verstoß schrieben, baten USMS um weitere Kommentare, aber die Regierungsbehörde zog es vor, keine weiteren Informationen offenzulegen.

Es gibt einen spürbaren Mangel an Details rund um den Vorfall, und es bleiben einige Fragen offen. Wir wissen zum Beispiel nicht, warum USMS fast vier Monate gebraucht hat, um die von der Datenverletzung betroffenen Personen zu informieren. Auch die Benachrichtigungen selbst sind nicht gerade mit Informationen überfüllt. Der Brief sagt zum Beispiel nicht aus, wie viele Menschen betroffen waren, auf welcher Art von Server die persönlichen Daten der Gefangenen gespeichert wurden oder wie und wann die Hacker eingebrochen sind.

Regierungsorganisationen sollten besser als jeder andere wissen, dass die ordnungsgemäße Offenlegung eines Datenschutzverstoßes nicht so einfach ist, wie eine kurze Benachrichtigung zu schreiben und zu sagen, dass die Privatsphäre und Sicherheit der Menschen ernst genommen wird. Selbst wenn eine Untersuchung läuft, ist vollständige Transparenz unerlässlich, wenn das Zielunternehmen oder die Zielinstitution ihre Vertrauenswürdigkeit in den Augen der Öffentlichkeit bewahren soll. Leider scheint in diesem speziellen Fall die Transparenz auf der Prioritätenliste von USMS nicht sehr hoch zu sein.