Cyberkriminalität: Welche Lehren zieht der Datenschutz aus den jüngsten Hackerangriffen?

Was ist eine penibel bis tief in den unternehmerischen Alltag hineinregierende Datenschutzgrundverordnung wert, wenn offenbar selbst bei den wichtigsten Behörden des Staates jederzeit ein gigantischer Datenklau im Rahmen des Möglichen liegt?

Seit Inkrafttreten der DSGVO hat sich die Gesellschaft in einem noch höheren Maße als schon vor dem Mai 2018 für das Dauerthema Datenschutz sensibilisiert. Kuriose Anfragen an Datenschutzbeauftragte, spektakuläre Datenskandale bei Facebook, die Angst vor einer anrollenden Abmahnwelle wirken wie das sprichwörtliche Damoklesschwert und mahnen einen sorgsamen Umgang mit Datenschutz an.

Und dann das: Ein Schüler – so der derzeitige Ermittlungsstand – macht zum Jahreswechsel private Daten von rund tausend Politikern und Prominenten via Twitter öffentlich. Nur wenige Tage später taucht im Internet ein Datensatz mit weit über 700 Millionen E-Mail-Adressen und 21 Millionen gehackten Passwörtern auf.

Erstes Bußgeld wegen mangelnder Datensicherheit verhängt

Welche Lehren lassen sich aus den beiden Mega-Datendiebstählen für die Umsetzung eines zeitgemäßen Datenschutzes ziehen? Und sollte nicht generell umfassender Schutz vor Datenklau Priorität im Datenschutz haben – und erst dann die DSGVO-konforme Formulierung eines Homepage-Impressums oder das Für und Wider von Namensnennungen auf Klingelschildern? Die angeblich als pingelig verschrienen Datenschützer nehmen ihren Job aber gerade beim Thema Datendiebstahl überaus ernst. Wochen vor Bekanntwerden des Datendesasters im Bundestag belegte nämlich der Landesdatenschutzbeauftragte von Baden-Württemberg das beliebte soziale Netzwerk Knuddels mit einer Geldstrafe von 20.000 Euro. Damit wurde erstmals ein Unternehmen wegen Verstößen gegen die DSGVO zur Kasse gebeten – noch wichtiger in diesem Zusammenhang: wegen der unzureichenden Sicherung von Kunden-Passwörtern. Im Sommer 2018 war es Hackern gelungen, Hunderttausende persönlicher Datensätze zu stehlen, weil das Netzwerk diese Passwörter unverschlüsselt im Speicher hatte. Dass Knuddels nicht bis zu 20 Millionen Euro zahlen muss – was nach dem strengen DSGVO-Reglement leicht möglich gewesen wäre –, beruht auf der vorbehaltlosen Kooperationsbereitschaft des Unternehmens mit der Datenschutzbehörde. Knuddels habe seine Lektion gelernt, meldete die PR-Abteilung eilig, und verfüge jetzt über eine IT, die „sicherer denn je“ sei.

Jeder zweite Deutsche 2018 Opfer von Cyberkriminalität

Solche durch Nachlässigkeit entstandenen und ausgenutzten Datenlecks unterminieren natürlich das Vertrauen der Verbraucher. Interessant sind deshalb die Ergebnisse einer neuen Umfrage über Datensicherheit im Gesundheitswesen: Hier scheint das Renommee entscheidend. Nicht einmal 50 Prozent der Befragten halten kleinere kommunale Kliniken für ausreichend gegen Cyberattacken gesichert. Größeren Kliniken vertrauen immerhin 54 Prozent, Hausarztpraxen 55, Facharztpraxen 63, Unikliniken sogar 78 Prozent. Wenn man diese Daten nimmt und darauf spekuliert, wie groß das einem Wirtschaftsunternehmen entgegengebrachte Vertrauen sein mag, ergibt sich wahrscheinlich ein umgekehrtes Verhältnis. Facebook & Co. traut man schlichtweg alles zu. Der mittelständische Betrieb in der Nachbarschaft wird seine Hausaufgaben aber wohl gemacht haben. Vom Gefühl zu den Tatsachen – es gibt weitere Erhebungen, die ein schwarzes Bild zeichnen. Bitkom ermittelte, dass jeder zweite deutsche Internetnutzer 2018 Opfer von Cyberkriminalität wurde. Zumeist ging es dabei um die illegale Verwendung persönlicher Daten oder die Datenweitergabe an Dritte.

Zentrale Anlaufstelle und neues IT-Sicherheitsgesetz

Die ZEIT nahm sich dieses Themas jetzt unter der reißerischen Überschrift „Wir rasen ohne Airbag durchs Netz“ an. Landauf, landab erklären derweil IT-Experten, dass Rechner und Technologien im Zuge einer rasanten Entwicklung nie sicher genug seinen, es aber bei vielen Usern, auch Politikern und Firmenchefs, noch immer am elementarsten Datenschutzwissen fehle – zum Beispiel, dass man keine Mails von Unbekannten öffnen sollte. Die so gescholtenen Politiker wollen aber nun handeln. Wie es heißt, will die Bundesregierung eine zentrale Anlaufstelle für Verbraucher sowie ein Frühwarnsystem einrichten, das Datenleaks und Hackerangriffen möglichst frühzeitig einen Riegel vorschiebt. Bei dieser Gefahr sitzen Wirtschaftsunternehmen und Verbraucher in einem Boot. Da ist es nur sinnvoll, einen solchen Radar auf eine möglichst breite Basis zu stellen. Außerdem soll bereits im ersten Halbjahr 2019 ein IT-Sicherheitsgesetz 2.0 verabschiedet werden. Es wird Maßnahmen zum digitalen Schutz von Staat und Gesellschaft beinhalten. Damit ist die Zertifizierung von technischen Geräten gemeint und auch die Einführung eines einheitlichen IT-Sicherheitskennzeichens, das beispielsweise einmal auf Routern zu finden sein wird und deren Sicherheitsqualität signalisieren soll.

Ein umstrittener EU-Plan trägt zur Verunsicherung bei

Dass Cyberkriminalität aber auch Ängste in ganz anderer Richtung weckt, die Bundesjustizministerin Katarina Barley (SPD) „Anlass zur Sorge“ geben, hängt mit dem neuen Plan der EU zusammen, der künftig grenzüberschreitende Ermittlungen im Internet erleichtern soll. Politiker, Datenschützer und Polizisten befürchten das Eingreifen ausländischer Strafverfolgungsbehörden in Deutschland. Doch was, wenn die mutmaßlichen Straftaten nach hiesigen Gesetzen gar keine sind? So wird ein möglicher Datenzugriff von Staatsanwälten aus Polen oder Ungarn hierzulande mit einem flauem Gefühl im Magen gesehen, weil beide Länder nicht nur ganz offensichtlich gegen Rechtsstaatsprinzipien verstoßen, sondern weil auch dortige Straftatbestände mit dem in Deutschland herrschendem Recht nicht vereinbar sind. Denn so sehr es den Urhebern des Plans um Cybersicherheit geht, so klar ist auch, dass die erteilten Befugnisse von grundsätzlicher Art für die gesamte Strafverfolgung sein werden. Bis es hier aber zu einer Entscheidung kommt, dürfte das nächste sensationelle Datenleck aufgespürt und ausführlich in den Medien diskutiert worden sein.