Datensicherheit: Größte Schwachstelle ist der Mensch

Die vergangene Woche war ein regelrechter Albtraum für Datenschützer. Fast täglich wurde man mit Schreckensmeldungen bombardiert: 25.000 Polizistendaten und 600.000 Krankenkassendaten schwirren im Internet. Server von österreichischen Behörden, wie etwa das Zentrale Melderegister, lassen sich mit einfachsten Mitteln durchforsten. Und kürzlich tauchte noch eine Festplatte einer Rettungsorganisation mit Patientendaten und Unfallfotos auf. Dieser letzte Vorfall wurde überhaupt nur bekannt, weil die Platte in die Hände einer Datenrettungsfirma gelangte, die beteuert, die Informationen jetzt sachgerecht vernichtet zu haben. Aber viele solcher Problemfälle bleiben wohl unerkannt.

1. Wer besitzt heikle Daten?

Die Antwort lautet leider: Ziemlich viele Organisationen. Ob Krankenkasse, Melderegister, Finanzamt oder andere öffentliche Einrichtungen, sobald man mit ihnen zu tun hat, wird ein Datensatz erstellt. Genauso verhält es sich, wenn man im Supermarkt an der Kasse gefragt wird, ob man eine Kundenkarte möchte und brav alle Felder ausfüllt. Oft handelt es sich dabei um vergleichsweise belanglose Daten, die man auch im Telefonbuch findet. Ärzte und Krankenhäuser speichern aber auch Krankengeschichten, Medikation oder ähnliche, sehr intime Details. Auch die Daten des Finanzamts oder des Strafregisters werden digital gespeichert.

2. Wie müssen Daten gesichert werden?

Jedes Unternehmen wird durch das Datenschutzgesetz (DSG) verpflichtet, bei personenbezogenen Daten Maßnahmen zur Datensicherheit zu ergreifen. Sinn der Sache ist, die Daten vor unberechtigtem Zugriff oder eine unerlaubten Weitergabe zu schützen. Auch soll dadurch gewährleistet werden, dass die Daten nicht zufällig oder unrechtmäßig zerstört werden. Wie diese Maßnahmen umgesetzt werden, müssen die Organisationen selbst beurteilen, indem sie Risiko, Schutzmöglichkeiten und Kosten einander gegenüberstellen. Bei einem Verstoß gegen diese Vorschrift droht eine Verwaltungsstrafe von bis zu 10.000 Euro pro Fall.

3. Einmal im Internet, immer im Internet?

Digitale Informationen haben kein Ablaufdatum. Sobald sich etwas verlustfrei und unbeschränkt vervielfältigen lässt, ist die Verbreitung dieser Informationen kaum aufzuhalten. Daher müssen Firmen und Behörden, die sensible Daten auf ihren Servern lagern, besonders vorsichtig damit umgehen. Genauso verhält es sich auch mit E-Mails, die man (unbedacht) verschickt.

4. Wie kommen Hacker an Daten?

Es gibt mehrere Einfallstore. Bei dem Angriff auf Partei-Websites und die ORF-Gebühreneintreiber GIS nutzten die Hacker von Anonymous Sicherheitslücken in deren Servern. Teilweise waren diese Fehler schon seit Jahren in der IT-Branche bekannt. Die Datendiebstählen waren also ein fatales Versäumnis der Betreiber. Eine weitere Methode ist "Denial of Service" (DoS). Dabei wird ein Zielrechner mit immensen Mengen an Datenmüll geflutet, bis er in die Knie geht. Dabei öffnet sich kurzzeitig eine Gelegenheit, um die Kontrolle über den Server zu übernehmen.

5. Welche Rolle spielt Google?

Die weltweit größte Web-Suchmaschine dürfte der Gruppe Anonymous Austria dabei geholfen haben, an die 600.475 Versichertendaten der Tiroler Gebietskrankenkasse herangekommen zu sein. Beispielhaft demonstrierten sie einen Tag nach dem TGKK-Leck über ihr Twitter-Konto, "wie mann (sic!) zufällig über Datenleaks stolpert". Eine simple Googlesuche nach "site:bmi.gv.at filetype:pdf" fördert etwa ein Organigramm der Sicherheitsakademie aus dem Jahr 2007 zutage. Die Suche nach simplen Textdateien brachte die Zugriffsdaten für das Schularztservice des niederösterreichischen Landesschulrats ans Licht. Wenig später musste dieser berichten, dass Unbefugte sich Zugang zum System verschafft hatten.

6. Welche Rolle spielt der Faktor Mensch?

Kein Plan übersteht den ersten Feindkontakt und die besten Schutzmaßnahmen schützen nicht vor Fahrlässigkeit. Zu oft kommt es vor, dass Zugangsdaten mit ungesicherten E-Mails verschickt werden, oder Datenträger beim Transport verloren gehen. Hinzu kommt noch, dass sich Server-Betreiber ständig über die Entwicklungen in der Branche informieren und ihre Systeme anpassen müssen. Das Schlimmste sind aber enttäuschte, verärgerte und rachsüchtige Mitarbeiter. Mit einer unüberlegten Aktion können sie nicht nur ihren Vorgesetzten "eins auswischen", sondern auch noch unzählige Unbeteiligte gefährden. Der Fall der 24.938 Polizistendaten fällt offenbar in diesen Bereich, wie DiePresse.com aus dem Umkreis der Polizei erfahren konnte. Ein Sympathisant von Anonymous dürfte der Gruppe die Datenbank zugespielt haben. Auch der berühmte Hacker Kevin Mitnick nutzte in den Neunzigern mehr seine Fähigkeit, Gesprächspartner um den kleinen Finger zu wickeln als tatsächliches Geschick mit Computern, um sich Zugangsdaten für die Netzwerke von Motorola, Nokia und IBM zu verschaffen.

7. Wenn man Daten löscht, sind sie weg, oder?

Die simple und ernüchternde Antwort lautet: Nein. Festplatten, aber auch USB-Sticks und andere Speichermedien entfernen Dateien beim Löschen nicht vollständig. Der genutzte Speicherplatz wird einfach nur für das Überschreiben mit neuen Daten freigegeben. Auch eine Formatierung eines Datenträgers ändert nichts an diesem Problem. Mit vergleichsweise einfachen Werkzeugen lassen sich Inhalte danach wieder herstellen. Gründliche Datenvernichtung gewährleisten nur spezielle Prorgamme, die Festplatten so oft überschreiben, dass das Ausgangsmaterial nicht mehr erkennbar wird, oder die physische Zerstörung der Medien.

8. Was kann jeder einzelne tun?

Um sich und seine Daten selbst zu schützen, gibt es mehrere Möglichkeiten. Wichtig ist, dass Zugangsdaten, also etwa Passwörter für lokale und im Internet ausgelagerte Systeme, möglichst sicher sind. Das eigene Geburtsdatum oder der Name der Kinder sind da nicht genug. Nutzt man zuhause WLAN, um etwa per Laptop, Smartphone oder Tablet auch von der Couch aus ins Internet zu kommen, sollte das Netz gut gesichert sein. Alle modernen Geräte bieten Verschlüsselung nach dem WPA2-Standard. Darunter sollte sie möglichst nicht sein. Verschlüsselungsprogramme wie Truecrypt ermöglichen es, die eigene Festplatte komplett zu verschlüsseln und so vor fremdem Zugriff zu sichern, selbst wenn sie ausgebaut wird. Für E-Mails empfiehlt sich die Software "Pretty Good Privacy" (PGP). Allerdings funktioniert sie nur, wenn beide Seiten sie einsetzen.