Personenbezogene Daten, die Stiefkinder der Sicherheit?

Kommentar von Richard Werner, Business Consultant

Welchen Wert haben eigentlich personenbezogene Daten? Diese Frage diskutieren IT Spezialisten derzeit immer offener. Das europäische Selbstverständnis sagt, dass dies nur ein Individuum selbst einschätzen kann und darüber entscheiden darf, was mit seinen personenbezogenen Daten passiert. Ein Gegenargument wiederum lautet: Solche Daten lassen sich quasi überall einsehen, und im Internet geben User zu allem ihr Einverständnis.

Bei dieser Kontroverse wird leider häufig ein Detail außer Acht gelassen, welches für den einzelnen Nutzer allerdings dramatische Auswirkungen haben kann. Das ist nämlich die Frage, was passiert, wenn diese Daten, die ein User vielleicht mit voller Absicht einer Firma anvertraut hat, von Dritten „gestohlen“ werden. Der klare Menschenverstand sagt natürlich, dass jedes Unternehmen seine Werte vor Diebstahl schützt. Nur bei einem IT/Datendiebstahl verliert ein Unternehmen nichts. Die Daten werden „nur“ kopiert. Insofern hat das Unternehmen auch keinen Schaden, den es absichern müsste.

Aber ist es tatsächlich so, dass Unternehmen diese Daten nicht schützen? Nun, teilweise. Selbstverständlich schützen sich Unternehmen vor Cyberangriffen — allerdings gibt es unterschiedliche Schutzniveaus. So sind die Unternehmensgeheimnisse, z.B. Forschungsdaten sehr gut geschützt (oder sollten es sein). Auch Kreditkartendaten und Passwörter erfreuen sich spezieller Aufmerksamkeit. Diese Daten werden auch gegen Mitarbeiter des eigenen Unternehmens abgeschirmt. Anders sieht es mit personenbezogenen Daten allgemeiner Natur aus. Mit diesen wird unter anderem ständig gearbeitet, etwa in CRM (Customer Relationship Management)-Systemen oder Adressbüchern. Diese können teilweise gar nicht so abgesichert werden wie Kreditkarten und Passwörter.

Dennoch ist es ein Unterschied, ob es vorkommt, dass ein Datensatz falsch zugestellt wird, oder ob eine komplette Datenbank kopiert und meistbietend im Internet verkauft wird. Gegen letzteres können sich Unternehmen wehren oder sollten hier zumindest ihr Möglichstes tun. Nichts anderes verlangt der Gesetzgeber wenn er von „Sicherheit nach Stand der Technik“ spricht. Dazu gehört vor allem, dass Unternehmen die Möglichkeit durchspielen, dass der Schutz versagt hat, und dass sie dann überlegen, was in einem solchen Fall zu tun ist. Wie erkennt man beispielsweise, dass etwas durchkam und was sind die nächsten Schritte?

Der Gesetzgeber hat mit der Datenschutz Grundverordnung (DSGVO) auch personenbezogene Daten wie Namen, postalische Anschrift und E-Mail-Adressen unter einen monetären Schutz gestellt, wobei die Strafe bei fehlender Compliance mit mindestens 20 Millionen € auch entsprechend teuer ausfällt. Um nun zu verstehen, warum diese Verordnung wichtig ist, muss auch die andere Seite des Problems betrachtet werden.

Wert der Daten

Was passiert eigentlich mit den Datensätzen, die Hacker gestohlen haben? Wieviel sind sie wert und warum soll das nachteilig für die betroffene Person sein? Eine Trend Micro-Studie „Den Daten folgen: Sicherheitsverstöße analysieren und Mythen aufdecken“ ist dieser Frage nachgegangen und hat einige überraschende Ergebnisse erbracht.

So gehören personenbezogene Daten zu den am häufigsten gestohlenen Datensätzen überhaupt. Das ist nicht verwunderlich… schließlich ist dies nicht sehr schwierig zu bewerkstelligen. Man erinnere sich an die Bekanntmachung von Firmen á la Ebay oder Yahoo, die die Öffentlichkeit zwar darüber aufgeklärten, dass etwas gestohlen wurde, aber nicht was. Zur Abrundung kommt meistens die Klarstellung, dass Kreditkartendaten oder andere Finanzdaten verschlüsselt und gar nicht betroffen waren. Auch wenn dies durchaus glaubwürdig ist, so bedeutet das aufgrund der Erkenntnisse des Trend Micro-Berichts keine Entwarnung. Denn Datensätze, die beispielsweise Wohnort, Geschlecht (bzw. Anrede) und die Tatsache beinhalten, dass es Geschäftskontakte mit den oben genannten Firmen gibt, machen einen Menschen im IT-Bereich angreifbar. So werden Mails, die diese Informationen enthalten, selten als Spam identifiziert und auch vom Empfänger oft nicht sofort als möglicherweise gefährlich erachtet. Angreifer steigern so die Effizienz ihrer Malware.

Das eigentlich Überaschende der Studie ist der vergleichsweise hohe Marktwert, den ein solcher Datensatz im Untergrund hat. Aber auch hier werden die Preise durch Angebot und Nachfrage bestimmt.

Doch zurück zur Frage, ob Unternehmen sich gut absichern. Die Ransomware-Welle und die teilweise an den Tag gelegte Hilflosigkeit mancher Unternehmen 2016 hat gezeigt, wie es tatsächlich um diese Vorkehrungsmaßnahmen bestellt ist. In einer Umfrage unter mehr als 200 Repräsentanten deutscher Unternehmen mit über 1000 Usern stellte sich heraus, dass etwa 40% mit Ransomware direkt konfrontiert waren. Gegen Ransomware können sich Nutzer heute technisch relativ leicht wehren, weshalb die letzten Angriffe dieser Art in Deutschland auch ziemlich erfolglos waren. Das sollte aber nicht darüber hinwegtäuschen, dass es nach wie vor offene Stellen in Netzen gibt, die ein Verteidiger mitunter noch nicht einmal kennt. Das wiederum ist das eigentliche Problem bei der Verteidigung gegen Datendiebstahl. Anzuerkennen, dass ein Verteidiger weder Ort, Art noch Zeit eines Angriffs bestimmen kann. Es ist mehr als eine reine Verteidigung erforderlich. Unternehmen benötigen auch eine Art Reserve für den Fall, dass der reine Schutz einmal überwunden wurde. Viele fangen langsam an, sich dieser Thematik bewusst zu werden. Allerdings muss nach Stand der Dinge heute davon ausgegangen werden, dass wir 2018 dennoch relativ oft über Datenverluste hören werden.

Fazit

Die eigentlichen Leidtragenden dieser Diskussion werden dabei gerne wieder übersehen. Dass sind nämlich (wir) normale Internetnutzer die Ihre Daten z.B. bei einem Serviceprovider hinterlegt haben. Gegen den Diebstahl und den daraus folgenden Missbrauch können wir als Privatperson nichts machen. Die DSGVO gibt den Nutzern zumindest die Hoffnung, dass Unternehmen dieses Problem ernst nehmen und ihr Möglichstes tun, um das zu verhindern. Dies sollte selbstverständlich sein, ist es aber leider derzeit nicht immer.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*