Data Loss Prevention (2/7): Krimineller Datenhandel weitet sich aus

Teil II: Identitätsdiebstahl im Unternehmen hat viele Facetten

Zweifellos ist Identitätsdiebstahl die am schnellsten wachsende Form des Online-Betrugs. Der Handel mit gestohlenen Kundendaten im Internet ist mittlerweile zu einem florierenden Geschäft geworden. Angesichts des jüngsten Datenschutzskandals gerät sogar die elektronische Gesundheitskarte in der heißen Testphase erneut in die Kritik.

Eine konsequente Argumentation ist allerorts Fehlanzeige. Was interessiert mich mein Geschwätz von gestern. Einige Politiker fordern nun den ganzen harten Schnitt, etwa soll auf die Einführung der E-Gesundheitskarte gleich ganz verzichtet werden. Denn sie produziere immerhin den größten Datenberg aller Zeiten und stelle somit eine dementsprechend große Missbrauchsgefahr dar. Das ist zwar richtig, dennoch liegt das Kernproblem nicht in der Speicherung, sondern im richtigen Umgang mit den Daten.

Die meisten Unternehmen sind mit der Erfüllung gesetzlicher Auflagen wie einer revisionssicheren und somit wasserdichten Compliance ziemlich überfordert. Sie scheitern oftmals schon bei der Datensicherung. Jetzt fordern Politiker auch noch verschärfte Kontrollen von Unternehmen, die mit Kundendaten hantieren. Wohl dem, der Kunden hat. Damit Unternehmen aber nicht rechtswidrig mit Kundendaten umgehen, müsse die Datenaufsicht auch in die Lage versetzt werden, ohne Anlass stichprobenartige Kontrollen durchführen zu können.

Die Begründung: Der Datenschutz und dessen Kontrolle sind laut den Fischerchören aus der politischen Szene gerade im Unternehmensbereich noch unzureichend. Seltsam angesichts der verschroben geführten Debatte ist nur eines: Von staatlichen Eingriffen im Sinne der Vorratsdatenspeicherung spricht derzeit kaum einer. Härtere Strafen oder besserer Schutz? Reflexartig ruft jetzt die Politik nach strengeren Gesetzen und härteren Strafen.

Damit dürfte sich kaum etwas erreichen lassen. Eben sowenig lässt sich dadurch individuelles Fehlverhalten von schlecht bezahlten Mitarbeitern im Callcenter verhindern lassen, wie das einfache Ausdrucken oder Kopieren von Kundendaten auf einen USB-Stick. Das Risiko, entdeckt zu werden, ist nicht so groß wie der Reiz, sich persönliche Vorteile zu verschaffen. Kein Allheilmittel sind deshalb hohe Geldstrafen, gerade bei Personen, bei denen Regressansprüche ohnehin ins Leere laufen, weil dort wenig zu holen ist.

Unternehmen sind als Gralshüter beim Datenschutz überfordert

Aber bekanntlich stinkt der Fisch ja nicht nur von unten betrachtet. Etwas interessanter wäre schon der Vorschlag, alle Unternehmen und Institutionen, die mit sensiblen Kundendaten wie die Banken zu tun haben, zur Einhaltung der von der Kreditkartenindustrie erarbeiteten technischen und organisatorischen Regularien zu verpflichten. Bankenexperten tüfteln bereits an einer Neuauflage und Erweiterung des Rahmenwerks, die einige durchaus sinnvolle Basiselemente enthalten. Siehe dazu etwa http://de.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard

Damit wäre zumindest dem Datenklau durch Gelegenheitsdiebe ein besserer Riegel vorgeschoben und die Verantwortung läge bei den Betreibern der Datenbanken, die dann weit wirkungsvollere Vorkehrungen zu treffen hätten. Dennoch kann und wird ein durchschnittlicher, mit gängigen Abwehrprogrammen abgesicherter Personal Computer niemals eine sichere Bank sein. Und damit wären wir bei den Unternehmen, denn es stellt sich die Frage, wie diese mit der akuten Krise der Datenrechte angesichts so unterschiedlicher Begehrlichkeiten überhaupt umgehen sollen.

Einerseits sollen die Betriebe nämlich für den Staat alle erforderlichen Unterlagen und Datenreservoirs im Sinne der Vorratsdatenspeicherung bereit halten. Andererseits müssen sie die Rolle eines Gralshüters über alle erdenklichen Individualrechte einnehmen. Wie der innerbetriebliche Datenschutzbeauftragte diesen Spagat bewältigen soll, darüber lässt sich nur trefflich spekulieren. Denn dessen strategische Position im Unternehmen reicht bekanntlich kaum aus, um zwischen diesen extremen Frontlinien erfolgreich hin und her zu pendeln.

Im ersten zum Thema „Data Loss Prevention (DLP)“, beschrieb der Autor Lothar Lochmaier die Probleme zwischen Datenschutz und Grundgesetz.

Im dritten Teil der Blog-Serie, die am 2.09.08 veröffentlicht wird, geht der Autor der Frage nach: Wie groß sind die Datenlöcher in den Unternehmen?