Datenklau: Von Hinterseer bis Faymann

Sicherheit ist ein Fremdwort für manche österreichische Behörden und Unternehmen. Welche Lehren aus den Hacker-Angriffen und Leaks der letzten Wochen gezogen werden sollten.

Max Schrems ist der Robin Hood der Generation Facebook, seit ein paar Wochen in Europa so bekannt, dass er sich der Medienanfragen von Günther Jauch abwärts kaum noch erwehren kann. Der Sherwood Forest liegt diesfalls in Kalifornien, und es geht um nichts Geringeres als einen der attraktivsten und größten Datenschätze, die es zurzeit gibt: die Userdaten von Facebook.

Schrems hat sich mit dem Social Network einen mächtigen Gegner ausgesucht und dessen Achillesferse im europäischen Datenschutz-Recht ausgemacht. Und er weiß, wie er die Botschaft überbringen muss, damit sie verstanden wird. „Wenn ich Vergleiche aus dem Analog-Zeitalter heranziehe, kapieren es die Leute.“ Sprich, ein Papierstapel von 1.200 Seiten veranschaulicht besser als alles andere, was Facebook alles über einen weiß – und das ist nur die Spitze des Eisbergs (siehe Interview ).

Dass Facebook das alles weiß, ist für sich allein genommen erst einmal noch kein Verbrechen. Das ist das Geschäft, auf das sich jeder Nutzer des Social Networks mit dem Akzeptieren der Geschäftsbedingungen eingelassen hat. Aus den Milliarden Postings und Likes, die die Nutzer im Rahmen ihrer Kommunikation auf Facebook setzen, wird ein extrem treffsicheres Werbeprofil destilliert, das dem Konzern allein 2010 zwei Milliarden Doller Werbegeld in die Kasse spülte.

Mit unserem digitalen Lebensstil hinterlassen wir täglich eine große Menge Datenspuren, die von Firmen aufgelesen und ausgewertet werden. Aus der IP-Adresse unseres Computers und den Cookies der diversen Websites lassen sich perfekte Profile erstellen, die uns zum leichten Ziel für die Online-Werbeindustrie machen. Und nicht nur das. Selbst wer nicht aktiv seine Daten in Netzwerke stellt oder Postings macht, hinterlässt seine Spuren – ganz ohne eigenes Zutun.

Jeder einzelne Klick, jede Eingabe einer Webadresse und erst recht jede versendete E-Mail wird automatisch an vielen Stellen im Internet mitprotokolliert. Wenn man das Bild der nackten Dame im Internet anklickt, weiß das nicht nur der Besitzer der Bilder, sondern wissen das bis zu 14 Zwischenstellen, die vom Server bis zum eignen Computer durchlaufen werden.

Selbst User, die mit ihren persönlichen Daten im Web sehr sorgsam umgehen, können sich schnell in den Profilen von sozialen Netzwerken wiederfinden. Wer sein Adressbuch in Facebook oder Google+ hochlädt oder Fotos von Freunden postet, erzeugt von diesen Personen sogenannte „Schattenprofile“. Wehren können sich diese Personen dagegen kaum. Rein statistisch erzeugt der durchschnittliche Internet-User 24.000 Seiten pro Jahr an Daten, allein durch das Surfen. Mit der Nutzung der unzähligen Kunden- und Kreditkarten lassen wir unsere Datenhäufchen jedoch auch in den Informations-Lokus vieler Konzerne fallen.

Als Staatsbürger verewigen wir uns mit einer Datenspur bei Behörden, Ämtern und Kassen. Die heimische Verwaltung hat rund 200 Datensilos, öffentliche Register, für seine Bürger, und jeder Österreicher ist im Schnitt in 100 von denen drin. „Der Bauer halt in anderen 100 als der Gewerbetreibende“, sagt Hans Zeger von der ARGE Daten. Doch weder bei so mancher Firma noch beim Staat sind die Daten immer so sicher aufbewahrt, wie sie sollten.

Seit Monaten gibt es eine nicht nachlassende Reihe von politisch motivierten Hacker-Angriffen, die die Schwachstellen im System recht schonungslos offenlegen. Initialzündung war die Operation Payback im Dezember 2010, die eine Antwort auf das Sperren der WikiLeaks-Konten war. Seither ist das globale Kollektiv aktiv, und seit ein paar Monaten sorgt die österreichische Splittergruppe für viel Aufsehen. Anonymous Austria kommt über dilettantisch gesicherte IT-Systeme an riesige Datenbanken oder bekommt sie von Personen aus dem Dunstkreis der Betroffenen zugespielt (Whistleblowing). Verantwortungsbewusstes Sicherheitsmanagement persönlicher Bürgerinformationen sieht zweifellos anders aus.

Entwicklungsland Österreich

Das Problembewusstsein bei Behörden und Unternehmen ist in homöopathischen Dosen vorhanden. Das weiß auch der auf Internetrecht spezialisierte Jurist Axel Anderl von Dorda Brugger Jordis. „Österreich ist da ein Entwicklungsland. Wenn man Daten nur abzuernten braucht wie reife Früchte, haben sich viele Geschäftsführer ihrer Verantwortung nicht wirklich gestellt.“ Und: „Das ist kein Thema der IT-Abteilung. Am Ende des Tages muss der Chef den Kopf hinhalten.“

Kavaliersdelikt ist das Verlieren von Daten keines. Wer seine Kundendaten nicht am Letztstand der Technik sichert, haftet für Schäden. Und wer sie schon verloren hat, muss die Betroffenen umgehend informieren, sagt der §14 des Datenschutzgesetzes (die sogenannte Data Breach Notification). Wie leger das die Betroffenen in Österreich handhaben, zeigte im Juli der Fall des Gebühreninfo-Servers.

Nachdem die Hacktivisten eine Sicherungskopie der kompletten Kundendatenbank gezogen hatten, versuchten die Verantwortlichen das Ausmaß des Datenverlusts herunterzuspielen. Erst auf ein Ultimatum der Hacker, den Beweis anzutreten und die Daten öffentlich zu machen, trat das GIS-Management den Canossagang via TV an. Können Betroffene Schaden nachweisen, ist Schadenersatz fällig. „Geht es um sensible Daten aus dem höchstpersönlichen Lebensbereich, können durch die erlittene öffentliche Kränkung auch ideelle Schadenersatzansprüche entstehen“, sagt der Jurist.

Im Namen des Staates

Mit dem Datenleck bei der TGKK wurde offenbar, wie leichtfertig im öffentlichen Bereich mit großen Datensätzen hantiert wird. Volker Schörghofer vom Hauptverband der Sozialversicherungsträger räumt ein, dass „es uns eine Lehre ist“. Und gelobt: „In Zukunft werden keine kompletten Datensätze an Dritte herausgegeben und verteilt.“

Im FORMAT-Gespräch versichert er, „dass die Daten in Krankenakten weitaus besser gesichert sind“. Auf der E-Card sind keine Krankendaten gespeichert, und die Datenübertragung zwischen Arzt und Verband ist verschlüsselt. Schörghofer ortet die mögliche Sollbruchstelle woanders: „Der einzelne Arzt mit einer kleinen Praxis ist mit der Datensicherheit sicher überfordert.“

Fix ist, die weiteren Ausbauschritte der elektronischen Gesundheitsakte (ELAG) und dazugehörigen Projekte wie einer einheitlichen Medikamenten-Datenbank werden noch kritischer beurteilt werden. Wie sensible Datenbanken angelegt und organisiert werden müssen, ist für Sicherheitsexperten ein heißes Thema. Otmar Lendl vom CERT sieht die einzig machbare Lösung des Datensicherheitsproblems in einer zentralisierten Umsetzung: „Es ist immer leichter, eine einzelne Datenbank abzusichern, als viele in mehreren Systemen. Eine verschlüsselte Abfrage ‚live‘ über das Netz ist sicherer.“

Sonderlich beeindruckt zeigen sich die Verantwortlichen bei den Behörden über die aktuellen Causen nicht. Beim Datenschutzrat im Bundeskanzleramt wurde am 3. Oktober stundenlang diskutiert. „Außer Absichtserklärungen, betriebliche Datenschutzbeauftragte zu forcieren und bei besonders kritischen Datenvorhaben einen Audit einzuführen, ist nicht viel herausgekommen“, sagt Hans Zeger, Österreichs profiliertester Datenschützer. So viel kann Anonymous gar nicht anstellen, als dass man nicht nach einer kurzen Schrecksekunde wieder zur Tagesordnung übergeht. „Aussitzen“ als rot-weiß-rote Spezialdisziplin.

Der nächste Daten-Gau scheint damit so gut wie programmiert. Der neueste „bürokratische Datenwahnsinn“ ist laut Zeger denn auch schon im Anmarsch: Mit dem Projekt der Transparenzdatenbank soll der heimische Förderwildwuchs über die technische Ecke konsolidiert werden. Ein Unterfangen, das an und für sich ja löblich wäre, gäbe es nicht schon Pläne, aus einer statistischen Datenbank (so war sie angedacht) eine zu machen, die dann auch zu Prüfzwecken bis hin auf Gemeindeebene einsehbar sein soll. Bleibt nur zu hoffen, dass die Sicherheitsrichtlinien dann auch in der Gemeindestube eingehalten werden.

– Jan Fischer, Barbara Mayerl

Urlaub in letzter Sekunde

Internet

Urlaub in letzter Sekunde

Warum Apple 3,2 Milliarden für den Beats-Deal zahlt

Apple

Warum Apple 3,2 Milliarden für den Beats-Deal zahlt