IT-Sicherheit: Datendiebstahl wird meldepflichtig

Firmen, die Daten von Kunden verlieren, müssen künftig darüber informieren. Ein Insider erzählt, wie bisher sogar Banken den Diebstahl von Kundendaten verschwiegen.

Wien. Bankgeschäfte, Online-Shopping, ÖBB-Fahrkarten oder ORF-Gebühren: Heute gibt es unzählige Möglichkeiten, via World Wide Web Bestellungen oder Zahlungsvorgänge bequem von zu Hause aus zu erledigen. Übermittelt wird dabei nicht nur der eigene Name, sondern auch Nummern von Kreditkarten, Konten, vielleicht auch Geburtsdaten, Adressen und vieles mehr.

Was geschieht aber, wenn der Dienstleister, dem der Kunde die sensiblen Informationen unter Annahme der Geheimhaltung anvertraut hat, die Daten verliert? Oder schlimmer, wenn sie gestohlen werden?

Nichts. In praktisch allen Fällen von Datenverlust und Datendiebstahl bleibt die Angelegenheit ein geheimes Betriebsinternum. Zu groß ist die Angst vor einer öffentlichen Blamage. Für die Konsumenten hingegen birgt die Praxis erhebliche Risiken. Das soll sich innerhalb der nächsten zwei Jahre ändern.

Die Anfang des Jahres präsentierte EU-Datenschutzverordnung sieht neben der Stärkung von nationalen Datenschutzbehörden und mehr Rechten für die Bürger vor allem eine Informationspflicht für jene Stellen vor, denen die Daten abhanden kamen. Bisher betraf das lediglich Telekom-Unternehmen, und das auch nur in besonders schwerwiegenden Fällen. Künftig gilt es gleichermaßen für Firmen wie auch öffentliche Stellen – und ist in Wahrheit ein Paradigmenwechsel inklusive Sicherheitsgewinn für die Bürger.

„Viele Datenverwerter sind ja bis heute der Meinung, dass die Informationen, die sie speichern, ihnen selbst gehören“, sagt Wieland Alge, General Manager beim IT-Sicherheitsdienstleister Barracuda Networks. „Folglich sehen sich die meisten Firmen nach einem Datendiebstahl auch als Geschädigte.“ Dass die eigentlichen Opfer jedoch jene Personen sind, deren Daten in die Hände von Kriminellen gelangten, daran denke keiner.

Datensätze am Schwarzmarkt

Tatsächlich hat sich der Diebstahl von Daten und Nutzerprofilen in den vergangenen Jahren zu einem lukrativen Geschäft entwickelt. Je nach Umfang des Datensatzes ist die digitale Identität eines Bürgers am Schwarzmarkt für drei bis fünf Euro zu haben. Angeboten werden Pakete zwischen mehreren Dutzend und einigen hunderttausend Einträgen.

Entscheidend für den Preis sind Qualität und Quantität gleichermaßen. So ist ein Profil mit möglichst vielen korrekten Details (Name, Geburtsort, Adresse, Name von Verwandten, Telefonnummer, Kontonummer, Kreditkartennummer, diverse Login-Daten etc.) mehr wert als ein Eintrag, der auch aus dem Telefonbuch stammen könnte. Oder anders gesagt: Bei zunehmender Dichte der Information wird der Datendieb im Netz irgendwann tatsächlich zu jener Person, deren Daten er gestohlen hat. Spätestens beim Verlust von Konto- und Kreditkartendaten wird es kritisch.

Ein einfaches Beispiel: Schon der vollständige Name sowie die Logins für Onlineshop und E-Mail-Adresse können ausreichen, um auf Kosten Dritter einzukaufen. Dabei müssen Username und Passwort nicht zwangsläufig vom Shopbetreiber selbst gestohlen werden. Viele Nutzer verwenden für unterschiedliche Websites die gleichen Daten. So ist es für einen halbwegs begabten Hacker ein Leichtes, etwa an die Logins völlig harmloser Internet-Foren zu kommen. Dass diese Daten dann woanders eingesetzt werden, daran denkt kaum jemand.

Dabei ist jedoch auch der direkte Weg über den digitalen Bankeinbruch möglich. Alge erinnert sich an einen Fall, bei dem aus dem Rechenzentrum einer bedeutenden österreichischen Bank massenhaft Kundendaten abgesaugt wurden. Der Security-Beauftragte hielt das Problem für überschaubar, denn: Erstens seien die „Originale“ ja noch da und zweitens hätte – bis auf ihn selbst – ohnedies niemand etwas vom Diebstahl bemerkt. Alge: „Diese Einstellung hat mich dann doch etwas überrascht.“

("Die Presse", Print-Ausgabe, 10.04.2012)