Huffpost Germany
BLOG

Eine offene Plattform für kontroverse Meinungen und aktuelle Analysen aus dem HuffPost-Gastautorennetzwerk

David T. Lohmann Headshot

Lasche Gesetze und schlechte IT-Infrastruktur: Immer mehr Firmen werden Opfer von Datendiebstahl

Veröffentlicht: Aktualisiert:
HACKER
PeopleImages.com via Getty Images
Drucken

Immer mehr Menschen werden im Internet ihre persönlichen Daten geklaut. Doppelt tragisch: Oft trifft die Opfer dabei gar keine Schuld. "Bei mir wurde Paypal mit einem Passwort, das ich leichtsinnig auch für einen anderen Anbieter benutzt hatte, gehackt und über meinen Account bestellt".

Das erzählt beispielsweise der Rechtswissenschaftler Stephan Lorenz von der Münchner Ludwig-Maximilians-Universität der Huffington Post. Das Mitglied des bayerischen Verfassungsgerichtshofs ist bei Weitem kein Einzelfall.

Sicherheitsforscher des Hasso-Plattner-Instituts in Potsdam haben in Internetforen aktuell über 439 Millionen Identitäten aufgespürt - eine Steigerung um 174 Prozent in zwei Jahren. Darunter befinden sich 62 Millionen Passwörter, 37 Millionen Namen, 32 Millionen Telefonnummern und nicht zuletzt 10.200 Kreditkartendaten. Fazit des Verbraucherschutzexperten Lorenz: Verbraucherdaten sind nicht ausreichend geschützt.

Eine halbe Milliarde Nutzerdaten gestohlen

Wie jetzt bekannt wurde, sind dem Internetunternehmen Yahoo Ende 2014 durch einen Hackerangriff mindestens eine halbe Milliarde Nutzerdaten gestohlen worden. Allein dieses Jahr standen 427 Millionen Myspace-Passwörter, 177 Millionen Linkedin-Datensätze und Informationen von 36 Millionen Tumblr- sowie 32 Millionen Twitter-Nutzern im Darknet für jeweils ein paar Cent zum Verkauf.

Besonders pikant: Der Hack der Kontaktbörse Adultfriendfinder, wodurch die sexuellen Vorlieben von 3,9 Millionen Nutzern verscherbelt wurden. Zugriff verschafften sich Hacker vor Kurzem ebenfalls auf 200.000 Nutzerprofile auf dem Server des Magazins der Süddeutschen Zeitung. Und auch Daimler musste einräumen, dass „unbefugte Dritte offensichtlich auf car2go-Kundendaten Zugriff bekommen" haben.

Ziel der Datenkäufer: Unter falscher Identität im Internet einkaufen. Manche nutzen die „echten" Personalien auch, um so genannte Scamming-Attacken durchzuführen. Dabei machen Kriminelle zum Beispiel in Online-Partnerbörsen Opfer emotional abhängig - um ihnen anschließend das Geld aus der Tasche zu ziehen.

Professioneller sind „Spearfishing"-Attacken: Dabei geht es Hackern um Finanzbetrug oder das Abschöpfen von Geschäftsgeheimnissen. „Grundsätzlich ist alles denkbar, mit dem sich Geld verdienen lässt oder das zur Verschleierung der eigenen Identität dienen kann", erklärt Andreas Forster vom Kriminalkommissariat des Münchner Polizeipräsidiums.

Wer bei den Unternehmen nach den Gründen für das Sicherheitsleck fragt, erhält nur ausweichende Antworten. "Unser Sicherheitsteam arbeitet daran, die Fakten zu ermitteln", heißt es aus der Yahoo-Zentrale. "Wir können zu laufenden Ermittlungen keine Auskünfte geben", wiegelt eine Daimler-Sprecherin ab.

Dabei sind Unternehmen gemäß Bundesdatenschutzgesetz dazu verpflichtet, Daten auf dem aktuellen Stand der Technik zu schützen und Verbraucher rechtzeitig über den Diebstahl zu informieren. Doch obwohl empfindliche Bußgelder bis zu 300.000 Euro drohen, scheinen es viele Firmen mit dem Datenschutz nicht so genau zu nehmen.

Nur 12 Prozent leisten sich ein Warnsystem

Laut einer Studie der Unternehmensberatung Ernst & Young vernachlässigt die Mehrheit der Firmen Investitionen in die Informationstechnik. Nur 12 Prozent leisten sich ein Warnsystem, lediglich 14 Prozent eine Sicherheitsabteilung. So verwundert es nicht, wenn 33 Prozent der Angriffe nur zufällig entdeckt werden.

Deutsche Bank-Chef John Cryan bezeichnete die IT seines Hauses beim Amtsantritt als „lausig": "Ungefähr 35 Prozent unserer Hardware befindet sich am Ende ihres Lebenszyklus oder ist bereits darüber hinaus." Das Nachsehen haben die Verbraucher - etwa wenn wie bei der Comdirect-Bank anderen Kunden der eigene Kontostand angezeigt wird.

Offiziell sind Firmen in solchen Fällen zur Zahlung von Schadensersatz verpflichtet. Doch wie so oft klaffen Theorie und Praxis weit auseinander: Erstens muss dem Internetnutzer ein finanzieller oder persönlicher Schaden entstanden sein. Zweitens muss bewiesen werden können, dass die Schuld für den Datenleak beim Unternehmen liegt. Und drittens müssen Kunden nachweisen, die „gebotene Sorgfalt" beachtet zu haben.

"Häufig regeln die allgemeinen Geschäftsbedingungen, dass Schäden einer schuldhaften Verletzung der Mitwirkungs- und Sorgfaltspflichten zu Lasten der Verbraucher gehen", erläutert Lina Ehrig von der Bundesverbraucherzentrale. Wer also beispielsweise auf eine Phishing-Mail reinfällt, habe häufig keinen Anspruch auf eine Rückerstattung.

Dem Bundesverbraucherschutzministerium ist die „Zunahme von Hacking-Angriffen als Verbraucherschutzproblem" zwar bekannt. "Die Verantwortung, Kundendaten zu schützen, obliegt jedoch in erster Linie den Unternehmen", sagt eine Sprecher von Heiko Maas (SPD) der Huffington Post.

Allerdings scheint neben den technischen Voraussetzungen auch der Wille zu fehlen. Eine Studie des TÜV Süd ergab, dass sich nur 43 Prozent der Firmen bei der werblichen Kundenansprache immer an die gesetzlichen Vorgaben halten. Und lediglich 41 Prozent löschen die persönlichen Daten, wenn der Kunde dies verlangt - obwohl dies gesetzlich vorgeschrieben ist.

Warum dies nicht geahndet wird? "Gemeinhin wird in diesem Zusammenhang die mangelnde Personalausstattung der Datenschutzaufsichtsbehörden der Länder kritisiert", heißt es aus dem Bundesministerium.

Pointiert und meinungsstark: Der HuffPost-WhatsApp-Newsletter

2016-07-22-1469180154-5042522-trans.png

In Bayern sieht Verbraucherschutzministerin Ulrike Scharf (CSU) das Problem hingegen bei ausländischen Firmen: "Wer die Daten der europäischen Verbraucher verarbeiten und nutzen will, muss unsere Standards beachten - unabhängig davon, ob er in der EU oder außerhalb der EU sitzt", sagt sie der Huffington Post. Die Ministerin fordert daher für alle Unternehmen eine effektive Aufsicht durch unabhängige Behörden.

Die bayerische SPD nennt es einen "Skandal", wenn sich Unternehmen nicht an gesetzliche Vorgaben halten. Verbraucherschutzexperte Florian von Brunn verlangt mehr Geld und Personal für Verbraucherzentralen. Sie können seit Februar Datenschutzverstöße abmahnen.

Die Grünen kritisieren, dass sich die IT-Sicherheitsgesetze nur auf kritische Infrastrukturen, nicht aber auf soziale Netzwerke, Zahlungsdienste oder Suchmaschinen beziehen. "Die bisherigen Regelungen sind nicht geeignet, Datendiebstahl zu verhindern", rügt Rosi Steinberger (Bündnis90/Die Grünen).

Der Chef der Vereinigung der bayerischen Wirtschaft, Bertram Brossardt, mahnt Firmen, die digitale Kompetenz der Mitarbeiter in Sachen IT-Sicherheit "dringend" zu steigern. Da zunehmend auch Patientendaten, Fingerabdrücke oder andere biometrische Daten gespeichert werden, ruft Thomas Kranig, Präsident des bayerisches Landesamts für Datenschutzaufsicht, besonders Behörden und Einrichtungen wie Krankenhäuser zur Wachsamkeit bei Bürgerdaten auf: "Sonst besteht die Gefahr", warnt er, "dass auch hochsensible Daten in die Hände von Kriminellen gelangen."

Leserumfrage: Wie fandet ihr uns heute?

2016-07-11-1468249306-1333267-umfrage.jpg

Hier geht es zur Umfrage.

Lesenswert:

Ihr habt auch ein spannendes Thema?
Die Huffington Post ist eine Debattenplattform für alle Perspektiven. Wenn ihr die Diskussion zu politischen oder gesellschaftlichen Themen vorantreiben wollt, schickt eure Idee an unser Blogteam unter blog@huffingtonpost.de.