CK • Washington.   Typisch: Daten sammeln und speichern und Kunden mit wohlmundigen Datenschutzerklärungen schmeicheln - dann aber Tür und Tor offenlassen. Wir Juristen können die besten Erklärungen verfassen, aber wenn Mandanten ihre Sicherungspflichten ignorieren, sind sie ihr Papier nicht wert. Selbst ein Penetration Test beim Mandanten, um sicherzustellen, dass die Er­klä­rungen stimmen, verleiht nur temporär eine gewisse Sicherheit, dass die Aus­sa­gen zutreffen.

So ging es einem der größten Datenvermarkter der Welt, Equifax in Atlanta: Oh­ne Mü­he, doch auf geschickten Umwegen, holten sich militärisch geschulte Hacker aus China Waggonladungen Kundendaten ab, beschreibt die Anklage in Uni­ted Sta­tes v. Wu Zhiyong, die das Justizministerium am 10. Februar 2020 veröffentlichte.

IT-Sicherheitsexperten lesen die Anklage, um vergleichbare Fehler der Da­ten­fir­ma zu ver­mei­den. Das einfache Ignorieren von Patches zur Lücken­schließung stellt ein unverzeihbares Unterlassen dar, das die Datenfirma bereits zur Wie­der­gut­ma­chung verpflichtet. Für Juristen ist die Bandbreite der Rechts­grund­la­gen le­sens­wert, die ein Einbrechen, das Ausspionieren der Server und schließlich das raffinierte Vorgehen zur Vermeidung auffälliger Übertragungen der Daten aus den Servern nach China aktiviert.