AnalyseDatenschutz und Datensicherheit: Das große Missverständnis

• SMS und WhatsApp-Nachrichten, die für Betrugsversuche genutzt werden: In Sachsen-Anhalt ist im vergangenen Jahr so ein Schaden von mehr als einer halben Million Euro entstanden.
• Kriminelle, die Daten bei Unternehmen oder Behörden erbeutet haben, nutzen diese auch aus. Datenschutz wird oft missverstanden. Und bei Datensicherheit sollten Behörden Vorbild sein, sind aber oft das Gegenteil.
• Software sollte besser werden, denn sie hat Schwachstellen und nicht der Mensch, der sie nutzt.

Es ist derzeit eine wahre Plage auf den Handys in Deutschland: Anrufe oder SMS von Nummern, die der Angerufene nicht kennt. Wer darauf eingeht, soll am Ende Geld überweisen. Hinter der Masche stecken Kriminelle, die im großen Stil Telefonnummern abgreifen und massenhaft Nachrichten verschicken.

"Mama, Papa, mein Handy ist kaputt. Das ist meine neue Nummer", heißt es dort zum Beispiel. Wer darauf eingeht, erhält als nächstes die Nachricht, dass auch das Online-Banking des angeblichen Kindes nicht mehr funktioniert und man seinem angeblichen Kind doch bitte Geld überweisen solle. Allein die Polizei in Sachsen-Anhalt hat im vergangenen Jahr 880 Anzeigen in diesem Zusammenhang gezählt – in fast 240 Fällen waren die Kriminellen erfolgreich und haben fast 550.000 Euro erbeuten können.

Nur: Woher haben die Kriminellen die Nummern? Sie können sie sich auf drei Wegen besorgt haben: Auf Internetseiten oder Online-Telefonbüchern, auf denen Internetnutzer und -nutzerinnen ihre Nummer selbst veröffentlicht haben. Oder, indem sie die Zahlenkombinationen der Telefonnummern durchtesten. Oder die Kriminelle haben die Telefonnummern auf Rechnern von Firmen, Behörden oder Institutionen erbeutet, in deren Rechner sie eingedrungen sind. Gerade staatliche Institutionen sind eine Goldgrube: Die Daten sind nämlich garantiert echt – anders als Internetseiten, auf denen sich die Nutzer vielleicht mit einer Wegwerf-E-Mail-Adresse oder unter Pseudonym anmelden können.

Bei Unternehmen und Behörden versuchen IT-Kriminelle sogar mehrfach zu Geld zu kommen: Indem sie die Firmen erpressen und die erbeuteten Daten ausnutzen oder weiterverkaufen. Diese Ransomware-Angriffe sind derzeit eine wahre Plage und es vergeht kaum eine Woche, in der nicht über einen solchen Angriff berichtet wird: Continental hat es zweimal erwischt. Der Rheinpfalz Kreis, die Stadt Potsdam, die TU Freiberg, das Fraunhofer-Institut in Halle und der Landkreis Anhalt-Bitterfeld.

Welche Daten aus Anhalt-Bitterfeld die Kriminellen kopiert haben, weiß niemand. Es kann auch niemand sagen, ob diese Daten bereits aktiv ausgenutzt werden.

In Anhalt-Bitterfeld hat Sabine Griebsch war bis Herbst vergangenen Jahres technische Einsatzleiterin für den Wiederaufbau der IT. 2021 waren Kriminelle in die Netze des Landkreises eingedrungen, hatten Daten auf ihre Rechner geladen und die Daten beim Landkreis verschlüsselt und wollten Lösegeld erpressen. Der Wiederaufbau der IT-Infrastruktur im Landkreis Anhalt-Bitterfeld hat bislang zwei Millionen Euro gekostet.

Griebsch will vor allem, dass die Informationssicherheits-Beauftragten in Behörden gestärkt werden. "Ein IT-Sicherheitsbeauftragter wirkt an Sicherheitsprozessen mit, das heißt, er stellt Leitlinien zur Informationssicherheit auf und koordiniert die Arbeit daran." Er müsse einen Rahmen für die Datensicherheit festlegen. "Er darf den Anforderungen nicht hinterherlaufen, sondern muss von vornherein einbezogen werden."

Allein: Es mangelt an Fachkräften. Allein beim Bund ist jede fünfte Stelle in der IT-Sicherheit nicht besetzt, hat eine Anfrage der Linken-Bundestagsabgeordneten Anke Domscheit-Berg in dieser Woche ergeben.

All das zeigt, dass wohl die Datensicherheit in Deutschland nicht ausreichend ist – auch wenn die rechtlichen Vorgaben des Datenschutzes vielleicht sogar eingehalten wurden. Dass also – bildlich gesprochen – in einem Haus unterschiedliche Zimmer existieren, in den Daten liegen und verwendet werden dürfen; aber weder die Zimmer noch das Haus anständig abgeschlossen werden.

Dr. Sandro Wefel, IT-Sicherheitsforscher an der Martin-Luther Uni Halle-Wittenberg, sagt, Datenschutz und Datensicherheit sollten nicht gegeneinander aufwogen werden. "Allerdings ist nicht anzunehmen, dass man Datenschutz ohne Datensicherheit gewährleisten kann." Wenn digitale Systeme einfach infiltriert werden könnten, könnten die schützenswerten Daten auch einfach gestohlen werden, sagt IT-Sicherheitsexperte Wefel. "In diesem Fall helfen dann auch keine gesetzlichen Vorgaben zum Datenschutz."

Gesetzliche Vorgaben wie die Datenschutzgrundverordnung dürften weltweit agierende Datendiebe kaum stören, sagt Wefel. Im Gegenteil: Erpressen sie Firmen oder Behörden, argumentieren die Kriminellen oft sogar mit der Datenschutzgrundverordnung, nach der Bußgelder gegen die Opfer verhängt würden.

"Viele Leute klammern sich an den Datenschutz", glaubt Erick Thek. Er arbeitet seit mehr als 20 Jahren in der Cybersecurity-Branche und hilft derzeit Kunden von Trend Micro, die Gefahren des Cyberraums zu verstehen. Nur so könnten sie sich darauf vorbereiten. Thek sagt, bei der Datenschutzgrundverordnung sei vor allem der vermeintliche Schutz von Daten hängengeblieben. "Aber ich glaube, wir übersehen das Gesamtbild."

Und das ist eher düster: Kriminelle dringen in Systeme, stehlen Daten bei Firmen und Behörden, erpressen sie und nutzen die Daten aus, indem sie die Menschen anschreiben und austricksen, um ihnen Geld zu überweisen oder indem sie auf ihre Namen Konten eröffnen, sich Produkte oder Dienstleistungen erschleichen. Eine ganze Cybercrime-Industrie.

Datenschutz und Datensicherheit würden weitgehend missverstanden, sagt Theck. "Denn es endet mitunter in geheimnisvollen Künsten, in juristischen Worten, was man rechtlich tun kann oder in magischen Worten, wie ein IT-Mitarbeiter ein System schützen kann." Es müsse eine gemeinsame Sprache gefunden werden, was das alles bedeute und wie es sich in Firmen und Behörden organisatorisch umsetzen ließe, sagt Thek.

So ähnlich sieht es auch Professor Tobias Eggendorfer. Er leitet bei der Cyberagentur des Bundes in Halle die Abteilung "Sicherer Systeme". Langfristig will er IT-Sicherheit mess- und prüfbar machen und zum Beispiel Softwarehersteller für Mängel in ihrer Software haftbar machen. Dabei kann der Datenschutz helfen, sagt er: "Der Datenschutz ist notwendig und verpflichtet quasi durch die Seitentür zu Datensicherheit."

Aber Eggendorfer sieht auch, dass Datenschutz für Firmen oder Behörden gern eine Ausrede ist, ein IT-Vorhaben nicht umzusetzen. "Wir haben ganz viele Datenschutzbeauftragte, die einen Zweitageskurs hatten und dann Datenschutzbeauftragte sind." Er nennt das eine gefährliche Gemengelage aus falschem Expertentum und Ausreden, kluge Dinge nicht umzusetzen. "Wir kapieren nicht, dass Datenschutz implizit auch Datensicherheit mit bedient."

Unternehmen, Behörden und Nutzerinnen und Nutzern müssten lernen, echten Datenschutz und echte Datensicherheit zu erkennen. Auch Aufsichtsbehörden, Bundes- und Landesbehörden sollten als gutes Beispiel vorangehen. "Leider sind sie ganz häufig das Gegenteil." Weil Behörden anderen Behörden keine Bußgelder aufdrücken könnten, sei die Datensicherheit Behörden mitunter egal, sagt Eggendorfer. "Das ist fatal."

Für die Zukunft wünscht Eggendorfer sich, dass Betriebssysteme von sich aus sicher sind. Aktuell würde das Problem auf den Menschen geschoben. "Es wird gesagt, die Nutzer haben die Schadsoftware installiert. Sie waren ungeschickt, hätten besser geschult werden müssen. Das kann man sagen. Aber das ist nicht richtig." Denn es müsste Betriebssysteme geben, bei dem niemand eine Schadsoftware installieren kann.

"Wir investieren derzeit viel zu wenig in die tatsächliche Sicherheit und finden immer eine Ausrede, warum irgendetwas anderes schuld ist. Wir müssen Systeme haben, bei denen normale Menschen auch etwas falsch machen können." So würde Antivirensoftware überflüssig, die viele Rechte in einem System haben und über die manche sagen, sie sei selbst ein Sicherheitsrisiko.

MDR (Marcel Roth)