Auf dem 13. Datenschutzkongress 2012 (8. und 9. Mai 2012, Berlin) erörtert die Bundesjustizministerin im Detail die neueren Entwicklungen im Datenschutzrecht in Deutschland und der EU. Auch Bundesinnenminister Dr. Hans-Peter Friedrich greift die aktuelle Diskussion um Datensicherheit auf und eröffnet mit seinem Vortrag den etablierten Berliner Datenschutzgipfel.

So täuschen die Täter als Absender ein regionales Kreditinstitut vor und erhoffen durch die Verwendung von sprachlich verbesserten Texten die Eingabe von vertraulichen Bank- und Kreditkartendaten auf ihren Phishing-Seiten. Entsprechend trat die Deutsche Bank in Erscheinung. Die Täter lockten die Opfer mittels eines Links in der E-Mail auf eine Seite mit der URL: „meine.deutsche-bank.de“. Das äußere Erscheinungsbild entsprach dem originalen Layout, auch werden Teile der Website aus der Originalseite geladen. Im Gegensatz dazu verwies der entscheidende Login-Link auf eine Seite der Phisher; der User sollte im Rahmen einer Kontobestätigung vertrauliche Daten eingeben. Anschließend erfolgte eine Weiterleitung auf die richtige Seite der Deutschen Bank. Zu den weiteren Opfern von Phishing-Kampagnen gehören: Postbank, Mastercard, Visa und PayPal.

Dazu zählen das Digitalisieren von physischen Akten, die Einlagerung von Dokumenten in Sicherheitsarchiven und die Anlieferung von angeforderten Unterlagen nebst der anschließenden Wiedereingliederung in das Archiv. Der Auftraggeber kann die Aktenbewegung über das Internet verfolgen.

Cyberkriminelle können die Software einfach kapern und unerwünschte Gebühren für den ahnungslosen Anwender auslösen. Allerdings muss der User vorher seine Zugangsdaten in eine öffentlich zugängliche Javascript-Datei einfügen. IceWarp hat die Google Applikation in ihr Programm „LiveWebAssist“, einen mehrsprachigen Business-Chat-Dienst integriert und den Sicherheitsfehler behoben.

59 Prozent der Befragten gaben an, dass sie keine oder nur mäßig effektive Mittel gegen die – durch mobile Endgeräte verursachten Gefahren – vorhalten. Lediglich 44 Prozent sagten, dass Applikationen die Anwender an der Verletzung von internen Nutzungsvorgaben hindern. Für die Studie wurden 115 IT-Verantwortliche befragt.

Es geht vor allem um den rechtskonformen Aufbau von Kundenprofilen mit verhaltensbezogenen Reaktionsdaten und den Einsatz der Privacy Admission Control® Funktion der Lösung ELAINE FIVE.

Das Worcestershire County Council verschickte eine E-Mail mit hoch sensiblen persönlichen Informationen an 23 unbeabsichtigte Adressaten. Das ICO setzte eine Strafe von £ 80.000,- fest und bemängelte das Fehlen eines Mitarbeitertrainings und von Zugangsbeschränkungen zu Informationen. Das North Somerset Council muss £ 60.000,- zahlen. Ein Beschäftigter versendete fünf E-Mails an einen unzuständigen National Health Service-Mitarbeiter; zwei E-Mails enthielten sensible, vertrauliche Angaben über ein Kind. Besonders prekär: Nach der Aufdeckung des Sachverhalts wurde die E-Mail noch dreimal an die falschen Empfänger verschickt. Das ICO bemängelte auch hier die mangelnde Datenschutzschulung.

Das Information Security Forum (ISF), eine der weltweit größten unabhängigen Organisationen für Informationssicherheit, sieht die folgenden Bedrohungen: (1) Consumerisation der IT. Mitarbeiter wollen mit ihren privaten mobilen Endgeräten auf geschäftliche Informationen zugreifen. Auf den Arbeitsplatzrechnern werden vielfach Webanwendungen mit ungetesteten Codes vorgehalten, die die Unternehmenssicherheit gefährden. Lokalisierungsdaten von GPS-fähigen Geräten können missbraucht werden. (2) Cyber (In)security. Das Gefahrenpotential des vernetzten Datenaustauschs und die damit einhergehenden Möglichkeiten der Wirtschaftsspionage, der Verletzung von Persönlichkeitsrechten und der negativen Beeinflussung von IT-Infrastruktur wird zunehmen. (3) Cloud-Sicherheit. Im kommenden Jahr werden sich die IT-Verantwortlichen mit der Datensicherheit in der Datencloud beschäftigen. (4) Datenverlust. Informationsaustausch über soziale Netzwerke, Open Source-Applikationen oder Wikis bieten Hackern einfache Angriffspunkte und müssen gesichert werden.

Imperva, ein Anbieter von Datensicherheitssystemen, sieht folgende Trends: (1) Die Anzahl der Attacken auf das https-Protokoll wird zunehmen. (2) Cyberkriminelle werden ihre Malware verstärkt in Browser-Sicherheitslücken ablegen. (3) Die Onlinetäter werden effektivere Denial of Service (DDoS)-Angriffe starten und auch die Anwendungs- und  Geschäftslogikebene angreifen. (4) Die Nutzung von NoSQL stellt eine Gefahr dar, es gibt zu wenige Sicherheitsexperten hierfür. (5) Informationen in sozialen Netzwerken können Ziel von automatisierten Angriffen werden. (6) Ein neu geschaffener „Hacking-Mittelsmann“ (Broker) wird die Vermittlung von Verkäufer und Käufer von gestohlenen Daten übernehmen.

Die Autoren forderten die Möglichkeit des Schutzes des Einzelnen vor dem Eindringen der Zeitungen in das Privatleben und damit die Unterbindung des Geschäfts mit den Informationen. Der Beitrag wurde nun durch die Leitung des Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein ins Deutsche übersetzt.

Aus der Veröffentlichung geht leider nicht hervor, wie viele Befragungen tatsächlich durchgeführt wurden. Eine der zitierten Quellen spricht von 550 Befragungen. Man darf also trotz dieses methodischen Fehlers davon ausgehen, dass die Studie – in den Vereinigten Staaten durchgeführt – breit angelegt war und die Aussagen repräsentativ sind. Die Ergebnisse dürften damit auch auf Europa übertragbar sein.

Täterstruktur

Die Studie definiert die internen Datendiebe als meist in technisch orientierten Jobs angesiedelt, zweite Hälfte Dreißig, also da, wo man sich auf die Midlifecrisis vorbereitet und überlegt, wie man sein Insiderwissen gewinnbringend vermarkten kann. Dass sie auf Geheimhaltung verpflichtet sind, ist den Tätern schnuppe, wenn das schnelle Geld lockt. Systemtechnische Wege zum Datenabfluss sind beliebt, weil man mit diesen Dingen umzugehen gewohnt ist. Hier setzt die Kritik an den Betreibern ein, die es Datendieben allzu leicht machen, sich der Kommunikationsmechanismen zu bedienen, die eigentlich für Firmenbelange installiert sind.

Besonders anfällig sind Mitarbeiter, die sich „innerlich verabschiedet“ haben. Die Studie behauptet, dass 65 Prozent der Innentäter zum Zeitpunkt des Datendienstahls bereits einen  Vertrag mit einem anderen Unternehmen hatten, das vom Verrat profitierte. Auch die Zahl der ermittelten Zugangsmöglichkeiten ist erschreckend: In 75 Prozent der Fälle hatten  Mitarbeiter Zugang zu Daten, mit deren Umgang sie vom Arbeitsplatz her autorisiert waren. Ausspionieren fand also kaum statt. Man bediente sich einfach an dem, was man ohnehin einsehen und kopieren durfte (bei der Frage des Kopierens hört eigentlich der Spaß auf, hier geht es um strenge Berechtigungskonzepte).

Wer sich mit Korruptionsbekämpfung befasst und den Spagat zwischen Datenschutz (streng limitierte Auswertung von Daten) und existenzbedrohlichen Informationsabflüssen bewältigen
muss, sollte sich die Studie näher ansehen. Zumindest dient sie zur Sammlung von Fakten für Entscheidungsträger, die Datenschutzbeauftragte in diesem schwierigen Geschäft zu beraten haben.