Sicherheit der Daten in deut­schen Unternehmen

Bun­desrat, Bun­destag und die zustän­digen Minister der Bun­des­re­gierung arbeiten seit einigen Jahren an einer gesetz­lichen Regelung zur Straf­barkeit des Handels mit uner­laubt erlangten Infor­ma­tionen.  Für die Sicherheit der Daten in deut­schen Unter­nehmen und die von Ver­brau­chern sind per­ma­nente Sen­si­bi­li­sierung und Sicherheit der Systeme gerade von Online-Anbietern aber viel wichtiger.

Die The­matik Daten­heh­lerei findet sich seit min­destens zwei Jahren immer wieder in den Medien, aktuell wieder als Antwort auf den umfang­reichen Dieb­stahl von Anmel­de­daten.  Diese Zugangs­ge­heim­nisse hat sich eine Gruppe Kri­mi­neller illegal aus unbe­kannten Quellen mit unbe­kannten Methoden ver­schafft. Ein IT-Sicher­heits­­un­­­ter­­nehmen hat Zugriff auf den Daten­be­stand und bietet eine Über­prüfung der Ver­trau­lichkeit der eigenen Anmel­de­daten an.

Auf ähn­liche Weise wurden vom BSI in der Ver­gan­genheit die Prüfung von Mil­lionen kom­pro­mit­tierter Authen­ti­fi­zie­rungs­ge­heim­nisse mut­maßlich deut­scher Bürger ange­boten. Das rege Interesse an der kos­ten­losen Prüfung durch das BSI lässt etwas Neid auf­kommen bei jemandem, der in den Unter­nehmen u.a. für den regel­mä­ßigen Wechsel von Pass­wörtern wirbt.

Wir sehen hier ein gewisses Para­doxon der Awa­­reness-Schulung: Wird eine Bedrohung oder ein Risiko konkret genug dar­ge­stellt, erreicht man die User. Ver­all­ge­meinert man die Bedrohung, erklärt Zusam­men­hänge, Hin­ter­gründe und daraus abge­leitete Sicher­heits­regeln, um den User auch für denkbare künftige Bedro­hungen zu sen­si­bi­li­sieren, nimmt das Interesse anscheinend ab. Zumindest ändert sich das Ver­halten der Mit­ar­beiter deutlich lang­samer. Wir erzielen nur eine sehr kurze Auf­merk­sam­keits­spanne für das Thema Daten­si­cherheit, egal ob mit oder ohne Schre­ckens­bilder und Gruselgeschichten.

Aber zurück zur Daten­heh­lerei: Bei den zusam­men­ge­tra­genen Mil­lionen von Zugangs­ge­heim­nissen besteht sicher kein Zweifel, dass die­je­nigen, die die Anmel­de­daten ursprünglich beschafft haben, illegal gehandelt haben. Ganz so ein­deutig scheint das nach deut­schem Straf­recht aller­dings nicht zu sein, denn selbst Skimming ist nicht zwangs­läufig ein straf­bares Aus­spähen von Daten im Sinne des §202a StGB. Die Straf­barkeit setzt die Umgehung von Sicher­heits­maß­nahmen durch die Täter voraus. Bestehen also keine adäquaten Sicher­heits­maß­nahmen, gibt es keine Straftat (siehe BGH S.5 unten).

Die gleichen Hürden sieht der Straf­tat­be­stand der Daten­heh­lerei vor. Auch hier ist Vor­aus­setzung, dass die Daten ursprünglich ent­spre­chend geschützt waren. Dies dürfte im kon­kreten Ein­zelfall schwierig nach­zu­weisen sein, ange­sichts der pro­fes­sio­nellen Han­dels­struk­turen für illegale Daten wie Zugangs­ge­heim­nisse. Auch hier erfüllt der Handel eine Dis­tri­bu­ti­ons­funktion, indem er Daten aus unter­schied­lichen, in diesem Falle ille­galen Quellen ziel­grup­pen­ori­en­tiert zusam­men­stellt und aus­preist. Dadurch dürfte es schwierig sein, die Quellen der Daten aus­findig zu machen, um nach­zu­weisen, dass die Daten dort ent­spre­chend gesi­chert waren. Zumindest sind bisher weder Ursachen noch Quellen für die Mil­lionen von Zugangs­daten ver­öf­fent­licht worden, die das BSI kürzlich als kom­pro­mit­tiert bewertet hatte.

Sicherlich ist es hilf­reich, eine Rege­lungs­lücke im Gesetz zu schließen. Die Sicherheit der Daten in den Unter­nehmen wird dadurch aber nicht unmit­telbar ver­bessert. Der größere Nutzen für die Sen­si­bi­li­sierung der User wären Erkennt­nisse aus straf­recht­lichen Ermitt­lungen zu den Methoden der Kri­mi­nellen, inklusive der Hehler. Es ist ja eher unwahr­scheinlich, dass die Mil­lionen von Zugangs­daten durch einen Angriff erbeutet wurden, also quasi einen Lucky-Hack. In der breiten Öffent­lichkeit besteht aber wohl dieser Irr­glaube: wenn Tages­schau, Spiegel-Online oder Bild ca. alle 3 Monate über Mil­lionen kom­pro­mit­tierter Zugangs­daten berichtet, dann gibt es offenbar alle 3 Monate einen großen Angriff auf ein großes System, was man als nor­maler User ja nicht ver­schuldet haben kann. Viel wahr­schein­licher ist doch die Sammlung und Dis­tri­bution dieser Daten aus vielen ‚all­täg­lichen‘ Angriffen, die der User eben doch ver­hindern könnte. Das müssen wir den Mit­ar­beitern und Ver­brau­chern erklären – und zwar nach­voll­ziehbar. Dafür brauchen wir aber deutlich mehr Infor­ma­tionen aus ver­trau­ens­wür­digen Quellen.

Im Augen­blick sollte zumindest nicht der Ein­druck ent­stehen, dass die Ver­ant­wortung für den Schutz sen­sibler Daten wie Zugangs­ge­heim­nisse zumindest teil­weise vom Staat durch das Straf­recht über­nommen wird. In Schu­lungen werden wir die Mit­ar­beiter immer wieder darauf hin­weisen müssen, dass sie selbst ihre Zugangs­daten und digi­talen Iden­ti­täten auch vor abs­trakten Gefahren schützen müssen. Dabei sei hier mal unter­stellt, dass die Anbieter von Online­diensten das mög­lichste getan haben, um tech­nisch und orga­ni­sa­to­risch die Sicherheit der Zugangs­ge­heim­nisse zu gewährleisten.

Am Rande sei erwähnt, dass das deutsche Daten­schutz­recht bereits seit langer Zeit Daten­heh­lerei unter Strafe stellt. Für per­so­nen­be­zogene Daten, die Zugangs­ge­heim­nisse wohl dar­stellen werden, finden sich im Bun­des­da­ten­schutz­gesetz lesens­werte Pas­sagen in den Para­graphen 43 und 44.

Bild: © Rainer Sturm / pixelio.de