Weil er gut 7.000 öffentlich zugängliche Dokumente der Reihe nach heruntergeladen hat, drohen einem 19-jährigen Kanadier zehn Jahre Haft. Der Treppenwitz: Die Dokumente stammen allesamt vom Informationsfreiheitsportal der Provinz Neuschottland und standen jedermann frei zur Verfügung. Der Teenager hatte einfach zu der URL jeweils 1 hinzugezählt, um das nächste Dokument zu erhalten. Schema: http://foo.bar/document0001.pdf , http://foo.bar/document0002.pdf , etc.

Die Provinzregierung war so tollpatschig, auf dem von Unisys betriebenen öffentlichen Server auch rund 250 Dokumente zu stellen, die nicht für die Öffentlichkeit bestimmt waren. Es soll sich um Akten über Bürger handeln, die Anfragen nach dem Informationsfreiheitsgesetz über sie selbst betreffende Daten gestellt haben. Diese Unterlagen müssen nicht anonymisiert werden. Passwortschutz gab es keinen, und die Dateien waren auch nicht als vertraulich gekennzeichnet.

Also waren auch diese Dateien unter den Downloads des junge Mannes, der nichts von der Datenschutzverletzung ahnte. Nicht vorgeworfen wird ihm, die vertraulichen Daten an Dritte weitergegeben zu haben. Dennoch muss er sich wegen "nicht autorisierter Nutzung eines Computersystems" vor einem Strafgericht verantworten. Darauf stehen bis zu zehn Jahre Haft.

Traumatische Hausdurchsuchung und Verhöre

15 Beamte rückten zu einer Hausdurchsuchung bei dem jungen Mann aus, verhafteten und verhörten ihn, und beschlagnahmten die elektronischen Geräte seiner Familie. Der minderjährige Bruder wurde auf dem Weg zu Schule festgenommen. Auch die Eltern und die minderjährigen Geschwister sollen stundenlang verhört worden sein – offenbar ohne Rechtsbeistand. Die Familie beschreibt den traumatischen Tag in einem Interview mit dem öffentlichen kanadischen Rundfunk CBC.

Allerdings unterließ es die Provinzregierung, sofort die betroffenen Bürger zu informieren, obwohl das gesetzlich vorgeschrieben ist. Die zuständige Ministerin Patricia Arab behauptete zunächst, die Polizei habe um das Stillschweigen gebeten. Als die Polizei das abstritt, hatten auf einmal untergebene Mitarbeiter die Verzögerung beschlossen.

Kanadische IT-Szene ist bestürzt

Dragos Ruiu auf der CanSecWest 2018 in Vancouver, Kanada (Bild: Daniel AJ Sokolov)

Die Reaktionen aus der kanadischen IT-Szene reichten von Schock bis Wut. Die vertraulichen Dokumente hätten nie ungeschützt im Netz stehen dürfen, und die Regierung solle ihre Fehler eingestehen, anstatt einen Sündenbock zu suchen, so der Tenor. Die Electronic Frontier Foundation (EFF) wies darauf hin, dass der Server nicht einmal Einschränkungen für Suchmaschinen angab, so dass ein Teil der Dokumente auf Google gecached sowie im Internet Archive gespeichert wurde.

Dragos Ruiu, Sicherheitsforscher und Veranstalter der SecWest-Konferenzreihe, gründete eine Spendenkampagne. Das Geld soll helfen, die Verteidigung des Angeklagten zu bezahlen. Er wird von dem auf Datenschutz spezialisierten Anwalt David Fraser vertreten. Für den selben Zweck spendete die in Halifax abgehaltene IT-Sicherheitskonferenz AtlSecCon vergangene Woche den Erlös ihres T-Shirt-Verkaufs: