| DATENSCHUTZWISSEN

Cyberkriminalität: Was kann man aus aktuellen Cyberangriffen für den Datenschutz lernen?

Offenbar liegt selbst bei den wichtigsten Behörden des Staates jederzeit ein gigantischer Datenklau im Rahmen des Möglichen. Wie ist das möglich?

Seit dem Inkrafttreten der DSGVO im Mai 2018 brannte sich das Thema Datenschutz in das Bewusstsein der Gesellschaft ein und wurde in den folgenden Monaten noch mehr vertieft. Neben skurrilen Anfragen an Datenschutzbeauftragte kam es auch zu spektakulären Datenskandalen bei Facebook, und eine vermutete Abmahnwelle mahnt einen bewussten Umgang mit dem Datenschutz an. Und dann: Ein Schüler – nach Aussagen der Polizei – macht zum neuen Jahr im Alleingang sensible Daten von unzähligen Politikern und Prominenten via Twitter öffentlich. Tage darauf taucht im Internet ein Datensatz mit weit über 700 Millionen E-Mail-Adressen und 21 Millionen gehackten Passwörtern auf.

Mangelnde Datensicherheit wird erstmals mit Bußgeld bestraft

Eine Frage kommt zur nächsten: Welche Konsequenzen lassen sich aus diesen Datenleaks der Superlative für die Umsetzung eines modernen Datenschutzes ziehen? Sollten nicht die Prioritäten auf einen umfassenderen Schutz vor Datenklau gelegt werden – und erst im Anschluss daran die DSGVO-konforme Formulierung eines Homepage-Impressums oder das Für und Wider von Klingelschildern mit Namensnennung? Die als sehr pingelig wahrgenommenen Datenschützer nehmen das Thema rund um Datendiebstahl jedoch bereits sehr ernst. Noch Wochen vor Bekanntwerden der Leaks im Bundestag belegte der Landesdatenschutzbeauftragte von Baden-Württemberg die beliebte Plattform Knuddels mit einer Strafe von 20.000 Euro. Damit wurde erstmals ein Unternehmen wegen Verstößen gegen die DSGVO zur Kasse gebeten – noch wichtiger in diesem Zusammenhang: wegen der unzureichenden Sicherung von Kunden-Passwörtern. Im Sommer 2018 war es Hackern gelungen, Hunderttausende persönlicher Datensätze zu stehlen, weil das Netzwerk diese Passwörter unverschlüsselt im Speicher hatte. Dass Knuddels nicht bis zu 20 Millionen Euro zahlen muss – was nach dem strengen DSGVO-Reglement leicht möglich gewesen wäre –, beruht auf der vorbehaltlosen Kooperationsbereitschaft des Unternehmens mit der Datenschutzbehörde. Knuddels habe seine Lektion gelernt, meldete die PR-Abteilung eilig, und verfüge jetzt über eine IT, die „sicherer denn je“ sei.

Die Hälfte aller Deutschen 2018 Opfer von Cyberkriminalität

Durch solche Datenlecks, entstanden durch Nachlässigkeit, wird das Vertrauen der Verbraucher geschmälert. Das Ergebnis einer aktuellen Umfrage über Datensicherheit im Gesundheitswesen ist hierbei besonders interessant: Hier scheint das Renommee entscheidend. Nicht einmal die Hälfte der Befragten halten eine kleine kommunale Klinik ausreichend gegen Cyberattacken gesichert. Größeren Kliniken vertrauen immerhin 54 Prozent, Hausarztpraxen 55, Facharztpraxen 63, Unikliniken sogar 78 Prozent. Wenn man diese Daten nimmt und darauf spekuliert, wie groß das einem Wirtschaftsunternehmen entgegengebrachte Vertrauen sein mag, ergibt sich wahrscheinlich ein umgekehrtes Verhältnis. Facebook & Co. traut man schlichtweg alles zu. Der mittelständische Betrieb in der Nachbarschaft wird seine Hausaufgaben aber wohl gemacht haben. Vom Gefühl zu den Tatsachen – es gibt weitere Erhebungen, die ein schwarzes Bild zeichnen. Bitkom ermittelte, dass jeder zweite deutsche Internetnutzer 2018 Opfer von Cyberkriminalität wurde. Zumeist ging es dabei um die illegale Verwendung persönlicher Daten oder die Datenweitergabe an Dritte.

Zentrale Ansprechpartner und neues IT-Sicherheitsgesetz

„Wir rasen ohne Airbag durchs Netz“ – so heißt die polarisierende Überschrift der ZEIT, die sich des Thema annahm. In ganz Deutschland erklären gleichzeitig IT-Experten, dass Rechner und Technologien im Fall der rasanten Entwicklung nie sicher genug seien. Jedoch sei gesagt, dass es einfach bei zu vielen Usern, darunter Politiker und Firmenchefs, an einem elementaren Datenschutzwissen fehle – zum Beispiel, dass man keine Mails von Unbekannten öffnen sollte. Da sie nun betroffen sind, wollen viele Politiker jetzt auch handeln. Anscheinend will die Bundesregierung eine zentrale Anlaufstelle für Verbraucher und zudem ein Frühwarnsystem einrichten, dass Leaks und Angriffen so frühzeitig der Garaus gemacht werden kann. Bei dieser Gefahr sitzen Wirtschaftsunternehmen und Verbraucher in einem Boot. Da ist es nur sinnvoll, einen solchen Radar auf eine möglichst breite Basis zu stellen. Außerdem soll bereits im ersten Halbjahr 2019 ein IT-Sicherheitsgesetz 2.0 verabschiedet werden. Es wird Maßnahmen zum digitalen Schutz von Staat und Gesellschaft beinhalten. Damit ist die Zertifizierung von technischen Geräten gemeint und auch die Einführung eines einheitlichen IT-Sicherheitskennzeichens, das beispielsweise einmal auf Routern zu finden sein wird und deren Sicherheitsqualität signalisieren soll.

Umstrittener EU-Plan schürt die Verunsicherungen

Cyberkriminalität kann jedoch auch in eine ganz andere Richtung gehen, die Bundesministerin Katarina Barley (SPD) „Anlass zur Sorge“ gibt. Das hängt mit dem neuen Plan der EU zusammen, der in Zukunft internationale Ermittlungen im Internet stark erleichtern soll. Politiker, Datenschützer und Polizisten befürchten vor allem das Eingreifen ausländischer Strafverfolgungsbehörden in Deutschland. Was, wenn Straftaten verfolgt werden, die aufgrund von hiesigen Gesetzen gar keine sind? So wird ein möglicher Datenzugriff von Staatsanwälten aus Polen oder Ungarn hierzulande mit einem flauen Gefühl im Magen gesehen, weil beide Länder nicht nur ganz offensichtlich gegen Rechtsstaatsprinzipien verstoßen, sondern weil auch dortige Straftatbestände mit dem in Deutschland herrschenden Recht nicht vereinbar sind. Denn so sehr es den Urhebern des Plans um Cybersicherheit geht, so klar ist auch, dass die erteilten Befugnisse von grundsätzlicher Art für die gesamte Strafverfolgung sein werden. Bis es hier aber zu einer Entscheidung kommt, dürfte das nächste sensationelle Datenleck aufgespürt und ausführlich in den Medien diskutiert worden sein.

Zurück

Hier bloggt die Redaktion Datenschutz & Datensicherheit des Verlags Mensch und Medien.