It’s data security, stupid!

Cybersicherheit im Jahr des Feuer-Hahns

Im chinesischen Horoskop steht der Hahn für Überblick, Souveränität und einen starken Charakter. Er ist ein Organisations- und Ordnungstalent. Zugleich sehnt sich der Gockel nach Bestätigung und Bewunderung. So war das Jahr des Hahns ein gutes Jahr für jeden, der sein volles Potenzial ausschöpfen und seine wahren Stärken finden wollte.  

.Im Jahr 2017, so scheint es, waren hauptsächlich Hacker und Cyberkriminelle Profiteure des astrologischen Feuer-Hahns – jedenfalls haben sie gute Gründe dafür, an die eigenen Fähigkeiten zu glauben. Nicht ganz unschuldig an den vielen erfolgreichen Angriffen waren die Unternehmen, die sich geradezu dabei zu übertrumpfen schienen, mehr und schneller Daten ihrer Kunden an die Angreifer zu verlieren. Angriffe, die sie mit billig und schlecht programmierter Software, ungeschützten Webseiten und anderen Sicherheitsschwachstellen erst ermöglicht haben. Alles noch rechtzeitig vor dem Inkrafttreten der europäischen DSGVO. Denn ab Mai 2018 gelten für Unternehmen, denen Datenschutzverletzungen nachgewiesen werden – soweit sie in der EU ansässige Personen betreffen –, einheitlich Geldbußen bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes (je nachdem, welcher Wert der höhere ist).

Die Datenschleuder, oder: Ein blindes Huhn findet auch mal ein Korn.

Equifax, eine der drei größten Kreditratingagenturen in den USA, ließ zu, dass über eine Schwachstelle in der Website sensible Daten inkl. Sozialversicherungsnummern von etwa 145 Millionen US-Amerikaner geleackt wurden. Die meisten der Opfer – Kreditnehmer – wussten nicht einmal, dass ihre Daten von der Agentur erfasst und gesammelt wurden. Bevor das Datenleck öffentlich wurde, verkauften einige der Firmenmanager ihre Anteile an der Firma – offiziell noch bevor ihnen der Angriff bekannt wurde. Einige sind nach dem Skandal zurückgetreten. Nun sind dies die Themen, die eine Sonderkommission im US-Kongress beschäftigt. Und die bewirken, dass Amerikaner mit zunehmendem Interesse gen europäische Datenschutzregulierung blicken. In Europa würden stringentere Datenschutzregeln gelten als in den in USA, beobachtete der US-Sicherheitsguru Bruce Schneier in Harvard Gazette. Generell würden die Amerikaner mehr den Unternehmen als dem Staat vertrauen. In Europa sei es umgekehrt. Dies resultiert in stärkeren Kontrollen der Überwachung in den USA. Dafür wird in Europa die Wirtschaft stärker reguliert. „Democracy needs deliberation, and it is slow“, sagte Paul Nemitz, Chefberater des Direktors für Justiz und Konsum der Europäischen Kommission. Inzwischen bescheinigen die Bürger (und die Medien) den europäischen Institutionen zunehmende Effektivität. Wenn wir Kapitalismus gestalten möchten, sagte Nemitz, dann müssen wir uns die Instrumente dazu geben. Die DSGVO könnte nur der Anfang davon sein.

Falls man für das neue Jahr noch keine guten Vorsätze hat, sollte man in Erwägung ziehen, das Taxiunternehmen Uber zu boykottieren, riet der NYT-Technik-Redakteur, Brian X. Chen. Nicht nur wegen des Skandals um sexuelle Belästigung, infolge dessen 20 Personen das Unternehmen verlassen mussten, sondern weil Uber plötzlich der Öffentlichkeit bekannt gab, im Jahr 2016 Opfer eines Angriffs gewesen zu sein, bei dem 57 Millionen Passagier- und Taxifahrer-Konten entwendet wurden – und über ein Jahr lang nicht das Bedürfnis verspürte, die Kunden, Mitarbeiter oder Behörden darüber zu informieren. Kann man Firmen für den Verlust von persönlichen oder sensiblen Daten belangen, die bereits durch ein früheres Leck jemand anderes verloren hat? Gute Frage, die vermutlich noch lange nach dem Inkrafttreten der DSGVO am 25. Mai 2018 die EU-Gerichte beschäftigen wird.

Ratingagenturen versus Datenschutz

Der alte Kontinent bleibt ebenfalls nicht von Datenlecks verschont: Kurz nach Weihnachten, am 27. Dezember 2017 meldete ZDNet, dass die Tochterfirma der Otto-Gruppe Eos, die im Inkasso-Geschäft tätig ist, über ihre Server in der Schweiz angegriffen wurde und Datensätze von mehreren Zehntausend Schuldnern entwendet wurden. „Die ältesten Dokumente reichen bis in das Jahr 2002 zurück“ – und die Informationen sollten den Medien von den Hackern selbst zugespielt worden sein. Das Brisante daran ist nicht nur, dass die Daten gestohlen wurden – sondern um welche Daten es sich dabei handelt. Das Unternehmen hortete offensichtlich nicht nur Daten über ehemalige Schuldner – obwohl es verpflichtet ist, diese nach dem abgeschlossenen Vorgang zu löschen –, „[s]o seien von Ärzten etwa vollständige Krankenakten mit Behandlungsdetails und Vorerkrankungen an den Geldeintreiber übermittelt worden. Auch Briefe, Scans von Reisepässen oder die Abrechnungen von Kreditkarten befinden sich im Besitz des Inkassounternehmens“.

Für das Eintreiben von Schulden sollten eigentlich Name, Anschrift und der Rechnungsbetrag ausreichen. Wer einem Inkassounternehmen Informationen übermittelt, die darüber hinausgehen, macht sich strafbar. So wollen es die Datenschutzgesetze. Wer als Arzt Patientendaten weiterleitet, verstößt gegen die ärztliche Schweigepflicht. In der Praxis sieht es aber so aus, dass deutsche Staatsanwaltschaften und das deutsche Strafrecht einen Straftatbestand „Verletzung der Privatsphäre“ oder „Verletzung des Persönlichkeitsrechts“ nicht kennen. Ungeachtet dessen, dass das Bundesdatenschutzgesetz (BDSG) in § 44 Strafvorschriften genau das geregelt haben wollte. Dort heißt es nämlich in Abs. 1: „Wer eine in § 43 Abs. 2 bezeichnete vorsätzliche Handlung gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.“ Und der Katalog der „vorsätzlichen Handlungen“ gemäß §43 Abs. 2 ist lang.

Kein Plan von Recht

„Die Hypertrophie des Rechts, die alles gesetzlich zu regeln versucht, lässt durch ihre Exzesse formeller Rechtmäßigkeit den Verlust jeder substanziellen Legitimität nur umso deutlicher hervortreten“, kritisiert Georgio Agamben in Die Geschichte des Bösen den „unaufhaltsamen Niedergang“ der demokratischen Institutionen, die zwar nichts Illegales tun, sich aber in der Krise der Legitimität befinden. So bestehen viele der im Wahlkampfjahr schnell auf den Weg gebrachten Gesetzesinitiativen des Bundesjustizministers Heiko Maas, wie das umstrittene NetzDG, die Konfrontation mit der Realität nicht. Thomas Fischer, Bundesrichter a. D., zeigte es in seinem Abschied von dem Justizminister am Beispiel der Erhöhung der Strafandrohung für Wohnungseinbruchsdiebstahl: „… die neue Strafandrohung knüpft auch gar nicht an der Verletzung des Privat- und Intimbereichs an, sondern an der Wegnahme irgendeiner belanglosen Sache: Wer einbricht, um alles zu durchwühlen und zu durchsuchen, kriegt eine Mindeststrafe von fünf Euro (fünf Tagessätzen à einen Euro). Wer einbricht, um einen Apfel zu klauen, kriegt eine Mindeststrafe von einem Jahr.“ Ein „Plan“ vom Recht sei nicht erkennbar, urteilte Fischer.

Das Henne-Ei-Dilemma 

Dafür kennt das deutsche Strafrecht zahlreiche Straftatbestände der sogenannten neuen Wirtschaftskriminalität, auch Hackerparagraf genannt. Als da wären: Ausspähen von Daten, § 202a StGB; Abfangen von Daten, § 202b StGB; Vorbereiten des Ausspähens und Abfangens von Daten, § 202c StGB; Computerbetrug, § 263a StGB; Fälschung beweiserheblicher Daten, § 269 StGB; Täuschung im Rechtsverkehr bei Datenverarbeitung, § 270 StGB; Datenveränderungen, § 303a StGB; Computersabotage, § 303b StGB. Hinzu kam im Jahr 2015 der neu hinzugefügte Straftatbestand der Datenhehlerei, 202d StGB: Der Handel mit rechtswidrig erlangten Daten wird unter die Freiheitsstrafe von bis zu drei Jahren oder Geldstrafe gestellt. War Datenhehlerei vor 2015 nicht strafbar? Mitnichten. Doch eine Regelung im § 44 BDSG wirkte offenbar für die deutschen Strafverfolgungsbehörden nicht überzeugend genug– eine zusätzliche Regelung im StGB musste her.

Ermittlungen gegen Hacker können ohne Rücksicht auf ihre Ziele, Absichten oder Dienste an die Gesellschaft durchgeführt werden – auch wenn es eigentlich häufig ihnen zu verdanken ist, dass die Öffentlichkeit von fragwürdigen Praktiken und Methoden der Ratingagenturen oder Schuldeneintreiber erfährt. „Neue Daten-Diebstähle und -Leaks zerrten die bislang geheimen Geschäftspraktiken der Datenbroker ans Licht“, kommentierte Torsten Kleinz in c’t; in den USA würden für jeden Bürger inzwischen 8.000 geheime Scoring-Werte von Privatfirmen erhoben, in Europa seien es ca. 600. „Berechnet würden die Bewertungen über undurchsichtige KI-Algorithmen.“ Diese gelten als Geschäftsgeheimnis der Firmen und werden durch Urheberrechte geschützt – wie im Übrigen auch die Wahlsoftware in Deutschland, mit der Stimmen zur Bundestagswahl ausgezählt werden, oder auch die Wahlautomaten in den USA. In beiden konnten im Jahr 2017 Sicherheitslücken nachgewiesen werden. Auf der Hackerkonferenz DEF CON im Juli 2017 in Las Vegas schafften es Hacker in weniger als 90 Minuten, die eigens zu Testzwecken erworbenen Wahlcomputer zu hacken. Viele der getesteten Modelle kommen in einzelnen Bundesstaaten und Wahlkreisen nach wie vor zum Einsatz – trotz der nachgewiesenen Sicherheitslücken. Bis zum Jahr 2015 waren derartige Versuche noch illegal – die Wahlcomputer waren urheberrechtlich geschützt. Die Library of Congress machte eine Ausnahme, um diese Form der Sicherheitsforschung zu ermöglichen.

In Deutschland werden Wahlcomputer zwar (noch) nicht eingesetzt, dafür ließ am 7. September 2017, wenige Tage vor den Bundestagswahlen, der Chaos Computer Club (CCC) eine Bombe platzen und veröffentlichte Sicherheitslücken in der Software zur Wahlstimmenauszählung, zum -Transfer und zur -Kumulation: PC-Wahl. Mit biederen Schutzmechanismen, Passwörtern wie „wahlen,ftp“ war die Software nicht darauf vorbereitet, Angriffen und Manipulation standzuhalten.

Doch damit solche Tests legal durchgeführt werden, muss der Zugriff auf die Technik zurückerlangt werden – indem man wieder selbst das Akku im Smartphone austauschen kann oder eben Einblick in die Software erlangt. „Zuletzt scheiterte der Wahlhelfer Ingo Hoeft gerichtlich mit dem Versuch, Einblick in das bei der Kommunalwahl in Rheinland-Pfalz 2009 flächendeckend eingesetzte Programm zu erhalten“, berichtete CCC. „Begründung: Geheimhaltung der Software sei für die Sicherheit der Wahl unerlässlich.“ Ob mit Technologie oder mithilfe von Urheberrechtgesetzen: Die Technik bleibt zunehmend im Verborgenen. Aktivisten plädieren deswegen für mehr demokratische Kontrolle über die Software.

.Am 16. Februar beginnt im chinesischen Horoskop das Jahr des Hundes, dessen Qualitäten Treue, Fleiß und Zuverlässigigkeit sind. Ein Jahr, in dem sich harte Arbeit wieder lohnen sollte. Bessere Software, Transparenz und Sanktionen gegen diejenigen, die Gesetze nicht achten – die Erwartungen an DSGVO liegen hoch. Nach dem Hype um Cybersicherheit dürfte das Jahr des Hundes wieder von der Datensicherheit geprägt werden. Zu behaupten, gut aufgestellt zu sein, dürfte jedenfalls nicht mehr reichen.

Natalia Marszałek
Aleksandra Sowa