Datendiebe machen fette Beute
Knapp vor Inkrafttreten des neuen Datenschutzregimes am 25. Mai kommen Sicherheitsexperten zum Schluss, dass Firmen immer noch nicht ausreichend für den Umgang mit sensiblen Daten gerüstet sind. Fahrlässigkeit spielt bei Datenklaus eine große Rolle.
Wien – Es ist nur ein Beispiel unter anderen, und doch eignet es sich gut, um zu illustrieren, wie hilflos manche Unternehmen immer noch im Umgang mit hochsensiblen Daten sind. Im September 2017 wurde bekannt, dass Hacker sich von Mai bis Juli Zugriff auf die Daten von rund 143 Millionen Kunden der Wirtschaftsauskunftei Equifax in den USA, in Kanada und UK verschafft hatten.
Sozialversicherungsnummern, Geburtsdaten, Adressen, Führerscheinnummern, Kreditkartennummern, es war für die Hacker ein üppiger Fang. Gehandelt wird der Diebstahl als einer der bisher größten von Sozialversicherungsnummern überhaupt. Dabei ist Equifax keineswegs eine Klitsche, sondern die größte Wirtschaftsauskunftei in den USA. Ein Einzelfall ist das Malheur nicht, im Gegenteil.
Der niederländische Chipproduzent und Spezialist für Sicherheitssoftware Gemalto untersucht seit 2013 im Breach Level Index (BLI) Sicherheitsvorfälle mit Datenverlusten weltweit. Für das Jahr 2017 haben die Spezialisten der Firma über 2,6 Millionen verlorene Datensätze weltweit dokumentiert, im Jahr davor waren es 1,4 Milliarden. Die Zahl der erfassten Vorfälle stieg um elf Prozent. Dabei bleibe wohl eine erhebliche Zahl im Dunkeln – vor allem auch in Österreich, sagt Österreich-Manager Christian Linhart dem STANDARD. Hierzulande würde immer noch auf das Motto „Schauen wir einmal, dann sehen wir schon“vertraut. Doch wie kommt es, dass ein hochprofessionelles Unternehmen wie Equifax so schlecht gerüstet ist, und welche Schlüsse muss man daraus ziehen? Viele Unternehmen würden auf die sogenannte PerimeterSicherheit setzen, also Antivirensoftware und Firewalls und damit „Zäune bauen“, die in Zeiten des weltweiten Datenflusses nicht mehr zeitgemäß seien, so Linhart.
Denn Daten würden sich heute zu Bearbeitungszwecken frei bewegen, landen etwa in der Cloud. Zwei Drittel der Unternehmen tun sich laut seiner Einschätzung schwer mit der Frage, wie sie eben mit jenen Daten in der Cloud umgehen sollen. Der Schlüssel sei die Verschlüsselung, außerdem reiche ein Passwort nicht. Wer seine Accounts besser schützen will, sollte eine Zwei-Faktor-Authentifizierung einführen. Bei Equifax hätte man dies wohl verabsäumt, sagt Linhart. Für den Sicherheits- mann ein klarer Fall von Fahrlässigkeit. Sie kommt laut Breach Level Index öfter vor, als man denkt. Zwar bleibt Identitätsdiebstahl der Hauptangriffsfaktor, besonders drastisch ist aber die Zunahme von menschlichem Versagen: 1,9 Millionen Datensätze wurden aus diesem Grund verloren, ein Plus von 580 Prozent in nur einem Jahr.
Angesichts des Umstandes, dass ab 25. Mai das neue Datenschutzregime unmittelbar bevorsteht, kein beruhigender Befund, findet Linhart. Im Gegensatz zur Registrierkassenpflicht gibt es nämlich keine Übergangsfrist. Viele Unternehmen hätten zwar ihre Verfahrensverzeichnisse bis zum Stichtag fertig, von der technischen Umsetzung entsprechender Sicherheitsmaßnahmen seien viele weit entfernt.
Datenschutz ist am Mittwoch auch Thema im Verfassungsausschuss des Parlaments. Mittels Initiativantrag bringen ÖVP, FPÖ und SPÖ einen Änderungsvorschlag ein, der auch die nötige Zweidrittelmehrheit erreichen dürfte. Es geht um eine Klarstellung der Frage, wer von den saftigen Strafen betroffen sein wird.