Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Sicherheit der Daten in deutschen Unternehmen
Bundesrat, Bundestag und die zuständigen Minister der Bundesregierung arbeiten seit einigen Jahren an einer gesetzlichen Regelung zur Strafbarkeit des Handels mit unerlaubt erlangten Informationen. Für die Sicherheit der Daten in deutschen Unternehmen und die von Verbrauchern sind permanente Sensibilisierung und Sicherheit der Systeme gerade von Online-Anbietern aber viel wichtiger.
Die Thematik Datenhehlerei findet sich seit mindestens zwei Jahren immer wieder in den Medien, aktuell wieder als Antwort auf den umfangreichen Diebstahl von Anmeldedaten. Diese Zugangsgeheimnisse hat sich eine Gruppe Krimineller illegal aus unbekannten Quellen mit unbekannten Methoden verschafft. Ein IT-Sicherheitsunternehmen hat Zugriff auf den Datenbestand und bietet eine Überprüfung der Vertraulichkeit der eigenen Anmeldedaten an.
Auf ähnliche Weise wurden vom BSI in der Vergangenheit die Prüfung von Millionen kompromittierter Authentifizierungsgeheimnisse mutmaßlich deutscher Bürger angeboten. Das rege Interesse an der kostenlosen Prüfung durch das BSI lässt etwas Neid aufkommen bei jemandem, der in den Unternehmen u.a. für den regelmäßigen Wechsel von Passwörtern wirbt.
Wir sehen hier ein gewisses Paradoxon der Awareness-Schulung: Wird eine Bedrohung oder ein Risiko konkret genug dargestellt, erreicht man die User. Verallgemeinert man die Bedrohung, erklärt Zusammenhänge, Hintergründe und daraus abgeleitete Sicherheitsregeln, um den User auch für denkbare künftige Bedrohungen zu sensibilisieren, nimmt das Interesse anscheinend ab. Zumindest ändert sich das Verhalten der Mitarbeiter deutlich langsamer. Wir erzielen nur eine sehr kurze Aufmerksamkeitsspanne für das Thema Datensicherheit, egal ob mit oder ohne Schreckensbilder und Gruselgeschichten.
Aber zurück zur Datenhehlerei: Bei den zusammengetragenen Millionen von Zugangsgeheimnissen besteht sicher kein Zweifel, dass diejenigen, die die Anmeldedaten ursprünglich beschafft haben, illegal gehandelt haben. Ganz so eindeutig scheint das nach deutschem Strafrecht allerdings nicht zu sein, denn selbst Skimming ist nicht zwangsläufig ein strafbares Ausspähen von Daten im Sinne des §202a StGB. Die Strafbarkeit setzt die Umgehung von Sicherheitsmaßnahmen durch die Täter voraus. Bestehen also keine adäquaten Sicherheitsmaßnahmen, gibt es keine Straftat (siehe BGH S.5 unten).
Die gleichen Hürden sieht der Straftatbestand der Datenhehlerei vor. Auch hier ist Voraussetzung, dass die Daten ursprünglich entsprechend geschützt waren. Dies dürfte im konkreten Einzelfall schwierig nachzuweisen sein, angesichts der professionellen Handelsstrukturen für illegale Daten wie Zugangsgeheimnisse. Auch hier erfüllt der Handel eine Distributionsfunktion, indem er Daten aus unterschiedlichen, in diesem Falle illegalen Quellen zielgruppenorientiert zusammenstellt und auspreist. Dadurch dürfte es schwierig sein, die Quellen der Daten ausfindig zu machen, um nachzuweisen, dass die Daten dort entsprechend gesichert waren. Zumindest sind bisher weder Ursachen noch Quellen für die Millionen von Zugangsdaten veröffentlicht worden, die das BSI kürzlich als kompromittiert bewertet hatte.
Sicherlich ist es hilfreich, eine Regelungslücke im Gesetz zu schließen. Die Sicherheit der Daten in den Unternehmen wird dadurch aber nicht unmittelbar verbessert. Der größere Nutzen für die Sensibilisierung der User wären Erkenntnisse aus strafrechtlichen Ermittlungen zu den Methoden der Kriminellen, inklusive der Hehler. Es ist ja eher unwahrscheinlich, dass die Millionen von Zugangsdaten durch einen Angriff erbeutet wurden, also quasi einen Lucky-Hack. In der breiten Öffentlichkeit besteht aber wohl dieser Irrglaube: wenn Tagesschau, Spiegel-Online oder Bild ca. alle 3 Monate über Millionen kompromittierter Zugangsdaten berichtet, dann gibt es offenbar alle 3 Monate einen großen Angriff auf ein großes System, was man als normaler User ja nicht verschuldet haben kann. Viel wahrscheinlicher ist doch die Sammlung und Distribution dieser Daten aus vielen ‚alltäglichen‘ Angriffen, die der User eben doch verhindern könnte. Das müssen wir den Mitarbeitern und Verbrauchern erklären – und zwar nachvollziehbar. Dafür brauchen wir aber deutlich mehr Informationen aus vertrauenswürdigen Quellen.
Im Augenblick sollte zumindest nicht der Eindruck entstehen, dass die Verantwortung für den Schutz sensibler Daten wie Zugangsgeheimnisse zumindest teilweise vom Staat durch das Strafrecht übernommen wird. In Schulungen werden wir die Mitarbeiter immer wieder darauf hinweisen müssen, dass sie selbst ihre Zugangsdaten und digitalen Identitäten auch vor abstrakten Gefahren schützen müssen. Dabei sei hier mal unterstellt, dass die Anbieter von Onlinediensten das möglichste getan haben, um technisch und organisatorisch die Sicherheit der Zugangsgeheimnisse zu gewährleisten.
Am Rande sei erwähnt, dass das deutsche Datenschutzrecht bereits seit langer Zeit Datenhehlerei unter Strafe stellt. Für personenbezogene Daten, die Zugangsgeheimnisse wohl darstellen werden, finden sich im Bundesdatenschutzgesetz lesenswerte Passagen in den Paragraphen 43 und 44.
Bild: © Rainer Sturm / pixelio.de

Über den Autor:
Lars Kripko berät in Projekten zum Datenschutz und ist Datenschutzbeauftragter verschiedener Unternehmen. Bereits in seiner Diplomarbeit hat er sich mit dem Datenschutzaudit auseinandergesetzt, danach viele Jahre als interner Datenschutzbeauftragter und Controller gearbeitet. Er ist Referent und Coach in der Ausbildung von Datenschutzbeauftragten und Autor verschiedenster Datenschutzpublikationen, u.a. der Studien „Datenschutz im HR“.

Neueste Kommentare