Data Loss Prevention (1/7): Krimineller Datenhandel weitet sich aus

I. Einführung: Wird Datenschutz plötzlich zur „Staatssache“ im Grundgesetz?

Der aktuelle Skandal belegt eindrücklich, das Thema Datenschutz ist wieder einmal auf die politische Chefagenda gerückt. So mancher Politiker versucht es dabei auch mit mehr oder minder ausgereiften technischen Vorschlägen. So plädiert SPD-Experte Sebastian Edathy dafür, Kundendaten in Unternehmen künftig nur noch verschlüsselt zu speichern.

Damit wären wohl alle Probleme gelöst, oder? Vielleicht aber sollte sich der Mann aber einmal anhand der gängigen Fachliteratur wie den Büchern von Kevin Mitnick sich näher mit Grundlagen von Social Engineering beschäftigen. Das wäre eine ideale Wiedervorlage für die Neueröffnung der nächsten Plenarsitzungen im angestaubten Bundestag.

Denn zudem fordert der SPD-Mann eine automatische Protokollierung von jedem Datenzugriff, gesetzlich verpflichtend für jedes Unternehmen versteht sich. Und: Verstöße gegen das Datenschutzgesetz müssen natürlich schärfer bestraft werden. Ob diese Androhung auch für Politiker gilt – gleich welcher Couleur – die mit dem Gesetz zur Vorratsdatenspeicherung tief in die Datenhoheit des Bürgers und der Unternehmen eingreifen?

Oh Gott, oh Gott, oh Gott, würden jetzt mal wieder meine lieben Verwandten in Frankreich sagen, die das aufgeregte politische Treiben hierzulande in den politischen Chefetagen mit einer gewissen Skepsis und Distanz beäugen. Zunächst sollten wir uns deshalb bemühen, einige Fakten in den richtigen Kontext zu stellen, um die allgemeine Wahrnehmungsverzerrung etwas aufzulösen. Der aktuelle Skandal wurde nicht durch Politiker publik, sondern von Verbraucherschützern aufgedeckt.

Diese machen jetzt öffentlich etwas publik, was schon längst gängige Praxis ist. Der Papierberg an Beschwerden über kriminellen Datenmissbrauch, der sich nämlich beim Bundesverband der Verbraucherzentralen (VZBV) aufhäuft, wächst seit langem. Also liebe Leute, besser ihr kontrolliert täglich oder zumindest wöchentlich eure Kontoauszüge, damit nicht unmerklich mal der eine oder andere kleine Posten abgebucht wird. Bis zu sechs Wochen lang darf der Kunde bei seiner Hausbank den automatischen Bankeinzug immerhin reklamieren, wenn ihm etwas verdächtig erscheint.

Eisberg-Prinzip in der IT-Sicherheit: An der Oberfläche gibt es nichts zu sehen

Der in Schleswig-Holstein veröffentlichte Fall von 17.000 illegal gehandelten Daten ist jedoch bekanntlich nur die Spitze eines Eisbergs, wie es der Verbandsvorsitzende Gerd Billen vom VZBV so elegant ausdrückte. Machen wir uns also nichts vor: In der Tat ist praktisch jeder Bundesbürger mit seinen Basisdaten gläsern, inklusive der einen oder anderen Bankverbindung, die Mann oder Frau zwangsläufig irgendwo mal angeben hat müssen.

Einem Call-Center in Bremerhaven gelang aber ein noch größerer Coup, nämlich offenbar der illegale Zugriff auf Datenbanken der Telekom. Dort genießt der Datenschutz angesichts der Rivalitäten in der Chefetage ohnehin in jüngster Zeit kein besonders hohes Renommee. Wenn die großen Vorbilder versagen, schneiden sich auch die kleinen Leute eine Scheibe ab. Die von dort gespeicherten Daten von 30 Millionen Kunden sind nämlich laut Presserecherchen bereits weiterverkauft worden.

Im Klartext: Es kann also jeden von uns treffen. Was also ist zu tun? Vor allem sollten sich nicht jene selbst ernannten Experten mit unausgegorenen Vorschlägen in die Debatte einmischen, die nichts davon verstehen, die also das Thema nur als Vehikel zur eigenen Profilierung benutzen wollen. Für so manchen Protagonisten der hitzigen Debatte wäre es besser, sich selbst vor seinen eigenen Aussagen zu schützen. Das wäre konsequenter Datenschutz - in eigener Sache sozusagen.

Einige Forderungen gehen noch weiter: Datenschützer fordern von der Bundesregierung schärfere Gesetze. Es müsse ein generelles Verbot für den gewerblichen Datenhandel ohne Einwilligung der Bürger geben - und dies müsse mit hohen Bußgeldern sanktioniert werden. Bundesdatenschützer Schaar verlangt zudem, dass eine Einwilligung zur Weitergabe von Daten in Zukunft nicht mehr im Kleingedruckten der allgemeinen Geschäftsbedingungen auftauchen dürfe.

Telefonisch abgeschlossene Verträge sollten zudem erst nach einer schriftlichen Bestätigung ihre Gültigkeit erlangen. Nun aber zur extremen aller erhobenen Forderungen: Der Datenschutz soll ins Grundgesetz, was die Partei der Grünen übrigens bereits seit Jahren einfordert. Nichts Neues im Westen also, denn eigentlich steht im Grundgesetz ja längst drin, dass die individuellen Rechte das Maß aller Dinge sind.

Jeder kann es beginnend mit Artikel 1 nachlesen, dass die Würde des Menschen und vieles andere mehr unantastbar sind. Peinlich ist nur, dass die Vorratsdatenspeicherung längst zum Alltag gehört. Schon vergessen? Nur scheint sich dies noch nicht bei allen Parteien herum gesprochen zu haben. Jetzt wechseln virtuelle Datenwächter plötzlich die Seiten und spielen sich öffentlichkeitswirksam zu Bürgerrechtlern auf. Die Wirklichkeit verläuft geradezu konträr zu diesen Forderungen.

Im zweiten Teil zum Thema Data Loss Prevention (DLP), die am 29.08.08 veröffentlicht wird, befasst sich Lothar Lochmaier mit dem Thema: Identitätsdiebstahl im Unternehmen hat viele Facetten.